PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheits-Patches für Firefox und Co.



Burgerdri
31.05.07, 11:09
Letzte Updates für Firefox 1.5.x und SeaMonkey 1.0.x

Von den Mozilla-Applikationen Firefox, Thunderbird und SeaMonkey sind neue Versionen verfügbar, die eine Reihe von Sicherheitslücken in den Applikationen schließen. Unter anderem können die Sicherheitslöcher von Angreifern dazu missbraucht werden, schadhaften Programmcode auszuführen.

Mit diesem Patch-Zyklus erscheinen das letzte Mal Updates für Firefox 1.5.x sowie SeaMonkey 1.0.x, weil der Support-Zeitraum dafür nun endet. Für Thunderbird 1.5.x endet der Support erst im Oktober 2007, weil die Version 2.0 des E-Mail-Clients deutlich später erschienen ist als Firefox 2.0.

Mit den neuen Versionen von Firefox und SeaMonkey werden eine Reihe von Fehlern korrigiert, über die Angreifer im schlimmsten Fall beliebigen Code ausführen können oder die die Software zum Absturz bringen kann. Diese Fehler betreffen auch Thunderbird, sofern darin JavaScript bei der Anzeige von HTML-Nachrichten aktiviert wird. Dies ist standardmäßig aber nicht der Fall.

In Firefox und SeaMonkey wurden noch drei Sicherheitslücken ausgemacht. Eine davon kann zum Ausspähen von Daten verwendet werden, während ein Fehler in den Popup-Funktionen für Spoofing-Angriffe genutzt werden kann. Zwei weitere Fehler treten in Verbindung mit Browser-Cookies auf. Der eine Fehler kann dazu führen, dass die Festplatte mit sinnlosen Daten beschrieben wird und der zweite führt zu einer fehlerhaften Interpretation von Cookie-Daten.

In Thunderbird und SeaMonkey steckt ein Sicherheitsleck in der APOP-Authentifikation, mit der Angreifer im ungünstigsten Fall Teile des Postfach-Passwortes ausspähen können. Dies ist aber nur über einen E-Mail-Server möglich, der unter der Kontrolle des Angreifers steht. Einschränkend betonen die Entwickler, dass es mehrere Stunden dauert, bis ein Angreifer Teile des Kennwortes herausfinden kann.

Ein weiteres Sicherheitsloch betrifft nur Firefox und darin die Autovervollständigen-Funktion. Diese kann für Denial-of-Service-Attacken missbraucht werden, indem schadhafte Formulardaten in eine Webseite eingegeben werden. Zudem soll die Browser-Engine von Firefox, SeaMonkey und Thunderbird ein paar Fehler weniger haben und mehr Webseiten akkurat darstellen.

Die hier beschriebenen Sicherheitslücken werden mit den aktuellen Versionen von Firefox, Thunderbird sowie SeaMonkey korrigiert. So gibt es Firefox und Thunderbird nun in den Versionen 1.5.0.12 sowie 2.0.4 für Windows, Linux und MacOS X, während SeaMonkey in der Version 1.0.9 sowie 1.1.2 ebenfalls für Windows, Linux und MacOS X verfügbar ist. Die neuen Versionen werden außerdem über die Update-Funktion der Programme verteilt. (ip)

Quelle:
http://www.golem.de/0705/52574.html