Sicherheits-Patches für Firefox und Co.
Letzte Updates für Firefox 1.5.x und SeaMonkey 1.0.x
Von den Mozilla-Applikationen Firefox, Thunderbird und SeaMonkey sind neue Versionen verfügbar, die eine Reihe von Sicherheitslücken in den Applikationen schließen. Unter anderem können die Sicherheitslöcher von Angreifern dazu missbraucht werden, schadhaften Programmcode auszuführen.
Mit diesem Patch-Zyklus erscheinen das letzte Mal Updates für Firefox 1.5.x sowie SeaMonkey 1.0.x, weil der Support-Zeitraum dafür nun endet. Für Thunderbird 1.5.x endet der Support erst im Oktober 2007, weil die Version 2.0 des E-Mail-Clients deutlich später erschienen ist als Firefox 2.0.
Mit den neuen Versionen von Firefox und SeaMonkey werden eine Reihe von Fehlern korrigiert, über die Angreifer im schlimmsten Fall beliebigen Code ausführen oder die die Software zum Absturz bringen können. Diese Fehler betreffen auch Thunderbird, sofern darin JavaScript bei der Anzeige von HTML-Nachrichten aktiviert wird. Dies ist standardmäßig aber nicht der Fall.
In Firefox und SeaMonkey wurden noch drei Sicherheitslücken ausgemacht. Eine davon kann zum Ausspähen von Daten verwendet werden, während ein Fehler in den Popup-Funktionen für Spoofing-Angriffe genutzt werden kann. Zwei weitere Fehler treten in Verbindung mit Browser-Cookies auf. Der eine Fehler kann dazu führen, dass die Festplatte mit sinnlosen Daten beschrieben wird und der zweite führt zu einer fehlerhaften Interpretation von Cookie-Daten.
In Thunderbird und SeaMonkey steckt ein Sicherheitsleck in der APOP-Authentifikation, mit der Angreifer im ungünstigsten Fall Teile des Postfach-Passwortes ausspähen können. Dies ist aber nur über einen E-Mail-Server möglich, der unter der Kontrolle des Angreifers steht. Einschränkend betonen die Entwickler, dass es mehrere Stunden dauert, bis ein Angreifer Teile des Kennwortes herausfinden kann.
Ein weiteres Sicherheitsloch betrifft nur Firefox und darin die Autovervollständigen-Funktion. Diese kann für Denial-of-Service-Attacken missbraucht werden, indem schadhafte Formulardaten in eine Webseite eingegeben werden. Zudem soll die Browser-Engine von Firefox, SeaMonkey und Thunderbird ein paar Fehler weniger haben und mehr Webseiten akkurat darstellen.
Die hier beschriebenen Sicherheitslücken werden mit den aktuellen Versionen von Firefox, Thunderbird sowie SeaMonkey korrigiert. So gibt es Firefox in den Versionen 1.5.0.12 sowie 2.0.4 und Thunderbird in der Version 1.5.0.12 jeweils für Windows, Linux und MacOS X. SeaMonkey ist in der Version 1.0.9 sowie 1.1.2 ebenfalls für Windows, Linux und MacOS X verfügbar. Die beschriebenen Sicherheitslücken betreffen auch Thunderbird 2.x, aber das in den Security Bulletins angesprochene Update auf die Version 2.0.4 von Thunderbird ist bislang nicht zu finden. Die neuen Versionen werden außerdem über die Update-Funktion der Programme verteilt.
Hab neulich mal aus Neugier Seemonkey 1.1.1 installiert (ist noch drauf). Beim...
Och, das geht auf meinem super, ich muss es nur mit einem Passwort bestätigen - damit...
Ach, mit BSDDaemon verstehe ich mich gut und er sagt ja vom Prinzip das gleiche, wie ich.
Schrei nicht so laut, sonst kommt noch ein BSDDaemon (vgl. http://forum.golem.de/read...
kwt
Kommentieren