Sicherheits-Update für Firefox und Mozilla (Update)

Aktuelle Firefox- und Mozilla-Versionen schließen mehrere Sicherheitslücken

Mit Firefox 1.0.4 wurde das bereits angekündigte Sicherheits-Update für den Browser veröffentlicht, womit ein Anfang der Woche entdecktes Sicherheitsloch in der Software beseitigt wird. Darüber hinaus wurden mit der aktuellen Version weitere Sicherheitslücken geschlossen, die auch in Mozilla zu finden sind, so dass für die Browser-Suite ebenfalls ein Update bereitsteht.

Artikel veröffentlicht am ,

Im Zusammenspiel mit einem IFrame- und JavaScript-Sicherheitsleck können Angreifer in den bisherigen Firefox-Versionen beliebigen Programmcode auf fremde Systeme schleusen, indem eine Firefox-Erweiterung geladen wird. Da sich die Sicherheitslücke ausschließlich über den Download einer Firefox-Erweiterung ausnutzen lässt, besteht das Problem nur, wenn bestimmte Voraussetzungen erfüllt sind.

Stellenmarkt
  1. Project Management Officer (w/m/d)
    Bau- und Liegenschaftsbetriebes des Landes Nordrhein-Westfalen (BLB NRW), Düsseldorf
  2. IT-Systems-Engineer*in (m/w/d) mit Schwerpunkt Enterprise-Content-Managemen- t-System (ECM)
    Landkreis Tübingen, Tübingen
Detailsuche

In einer Standardkonfiguration von Firefox ist der Download von Erweiterungen nur von Mozilla-Domains möglich, so dass Angriffe darüber unterbunden wurden, weil das Mozilla-Team unabhängig von der aktuellen Firefox-Version entsprechende Gegenmaßnahmen getroffen hat. Wer also keine anderen Domains in der betreffenden Whitelist eingetragen hat, ist auch mit alten Firefox-Versionen vor etwaigen Angriffen sicher. Schaltet man die Software-Installation in Firefox generell ab, sind solche Angriffe ausgeschlossen. Das Mozilla-Team empfiehlt eine zügige Einspielung der aktuellen Firefox-Version.

Von dem oben beschriebenen Sicherheitsproblem ist Mozilla nur teilweise betroffen. Zwei weitere Sicherheitslücken stecken aber sowohl in Firefox als auch in Mozilla. So erhalten beide Browser eine verbesserte Rechtekontrolle, die sicherstellen soll, dass JavaScript-Aktionen immer mit den zugewiesenen Rechten ausgeführt werden. Damit soll verhindert werden, dass Angreifer ihre Rechte per JavaScript ausweiten können. Eine weitere nun geschlossene Sicherheitslücke erlaubte einem Angreifer über Favicons und JavaScript das Ausführen von Programmcode. Zudem wurden Fehler bei der DHTML-Ansicht behoben.

Sowohl Firefox 1.0.4 als auch Mozilla 1.7.8 stehen jeweils für Windows, Linux und MacOS X in englischer Sprache zum Download bereit. Da Netscape die gleiche Rendering-Engine wie Mozilla und Firefox verwendet, dürften die Sicherheitslücken auch darin stecken, allerdings wurde das bislang nicht bestätigt und einen Patch existiert auch nicht.

Nachtrag vom 12. Mai 2005 um 10:57 Uhr:
Zumindest Firefox 1.0.4 steht seit wenigen Minuten auch in deutscher Sprache zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Wanda 15. Mai 2005

Nur weil Microsoft am Explorer wenig patcht bedeutet dies nicht das wenig zum patchen da...

Leo 13. Mai 2005

Ich kann in Textfeldern (textarea, input) folgende Aktion nicht mehr durchführen: 1...

RPGOzzy 13. Mai 2005

Ich habe mir jetzt bereits 9532 Mal den Internet Explorer heruntergeladen. Und ich mu...

Tellerwäscher 12. Mai 2005

Und das ist immer noch besser als bei 6.0 mit offenen Scheunentoren stehenzubleiben. PS...

firefoxuser 12. Mai 2005

Ist soeben erschienen: http://www.mozilla.org/products/firefox/all Einfach runterscrollen...



Aktuell auf der Startseite von Golem.de
Tesla Model Y im Test
Die furzende Familienkutsche

Teslas Model Y ist der Wunschtraum vieler Model-3-Besitzer. Reichweite und Raumangebot überzeugen im Test - doch der Autopilot ist nicht konkurrenzfähig.
Ein Test von Friedhelm Greis

Tesla Model Y im Test: Die furzende Familienkutsche
Artikel
  1. Games Workshop: Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert
    Games Workshop
    Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert

    Der Youtuber Squidmar hat wochenlange Arbeit in den Warhammer-40K-Thunderhawk gesteckt. Das hat sich gelohnt: Er erzielt einen Rekordpreis.

  2. USA: Programm zur Vernichtung von Huawei-Technik angelaufen
    USA
    Programm zur Vernichtung von Huawei-Technik angelaufen

    Die Mobilfunktechnik von Huawei und ZTE wird ausgebaut und entsorgt. Die Kosten für den US-Steuerzahler liegen bei 1,9 Milliarden US-Dollar.

  3. Thinkpad E14 Gen3 im Test: Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis
    Thinkpad E14 Gen3 im Test
    Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis

    Schon das Thinkpad E14 Gen2 war exzellent, bei der Gen3 aber hat Lenovo die zwei Schwachstellen - Akku und Display - behoben. Bravo!
    Ein Test von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Nur noch heute PS5-Gewinnspiel • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 7 Tage Samsung-Angebote [Werbung]
    •  /