• IT-Karriere:
  • Services:

Sicherheits-Update für Firefox und Mozilla (Update)

Aktuelle Firefox- und Mozilla-Versionen schließen mehrere Sicherheitslücken

Mit Firefox 1.0.4 wurde das bereits angekündigte Sicherheits-Update für den Browser veröffentlicht, womit ein Anfang der Woche entdecktes Sicherheitsloch in der Software beseitigt wird. Darüber hinaus wurden mit der aktuellen Version weitere Sicherheitslücken geschlossen, die auch in Mozilla zu finden sind, so dass für die Browser-Suite ebenfalls ein Update bereitsteht.

Artikel veröffentlicht am ,

Im Zusammenspiel mit einem IFrame- und JavaScript-Sicherheitsleck können Angreifer in den bisherigen Firefox-Versionen beliebigen Programmcode auf fremde Systeme schleusen, indem eine Firefox-Erweiterung geladen wird. Da sich die Sicherheitslücke ausschließlich über den Download einer Firefox-Erweiterung ausnutzen lässt, besteht das Problem nur, wenn bestimmte Voraussetzungen erfüllt sind.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. MünsterlandManager.de GmbH & Co. KG, westliches Münsterland

In einer Standardkonfiguration von Firefox ist der Download von Erweiterungen nur von Mozilla-Domains möglich, so dass Angriffe darüber unterbunden wurden, weil das Mozilla-Team unabhängig von der aktuellen Firefox-Version entsprechende Gegenmaßnahmen getroffen hat. Wer also keine anderen Domains in der betreffenden Whitelist eingetragen hat, ist auch mit alten Firefox-Versionen vor etwaigen Angriffen sicher. Schaltet man die Software-Installation in Firefox generell ab, sind solche Angriffe ausgeschlossen. Das Mozilla-Team empfiehlt eine zügige Einspielung der aktuellen Firefox-Version.

Von dem oben beschriebenen Sicherheitsproblem ist Mozilla nur teilweise betroffen. Zwei weitere Sicherheitslücken stecken aber sowohl in Firefox als auch in Mozilla. So erhalten beide Browser eine verbesserte Rechtekontrolle, die sicherstellen soll, dass JavaScript-Aktionen immer mit den zugewiesenen Rechten ausgeführt werden. Damit soll verhindert werden, dass Angreifer ihre Rechte per JavaScript ausweiten können. Eine weitere nun geschlossene Sicherheitslücke erlaubte einem Angreifer über Favicons und JavaScript das Ausführen von Programmcode. Zudem wurden Fehler bei der DHTML-Ansicht behoben.

Sowohl Firefox 1.0.4 als auch Mozilla 1.7.8 stehen jeweils für Windows, Linux und MacOS X in englischer Sprache zum Download bereit. Da Netscape die gleiche Rendering-Engine wie Mozilla und Firefox verwendet, dürften die Sicherheitslücken auch darin stecken, allerdings wurde das bislang nicht bestätigt und einen Patch existiert auch nicht.

Nachtrag vom 12. Mai 2005 um 10:57 Uhr:
Zumindest Firefox 1.0.4 steht seit wenigen Minuten auch in deutscher Sprache zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  2. 594€ (mit Rabattcode "YDENUEDR6CZQWFQM" - Bestpreis!)
  3. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)

Wanda 15. Mai 2005

Nur weil Microsoft am Explorer wenig patcht bedeutet dies nicht das wenig zum patchen da...

Leo 13. Mai 2005

Ich kann in Textfeldern (textarea, input) folgende Aktion nicht mehr durchführen: 1...

RPGOzzy 13. Mai 2005

Ich habe mir jetzt bereits 9532 Mal den Internet Explorer heruntergeladen. Und ich mu...

Tellerwäscher 12. Mai 2005

Und das ist immer noch besser als bei 6.0 mit offenen Scheunentoren stehenzubleiben. PS...

firefoxuser 12. Mai 2005

Ist soeben erschienen: http://www.mozilla.org/products/firefox/all Einfach runterscrollen...


Folgen Sie uns
       


5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster

Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
Xbox, Playstation, Nvidia Ampere
Wo bleiben die HDMI-2.1-Monitore?

Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
Eine Analyse von Oliver Nickel

  1. AV-Receiver Fehlerhafte HDMI-2.1-Chips führen zu Blackscreen

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

    •  /