Firefox 1.5.0.4, Thunderbird 1.5.0.4 und SeaMonkey 1.0.2 da

Thunderbird 1.5.0.4 als Universal Binary für MacOS X zu haben

Für die drei Mozilla-Applikationen Firefox 1.5.x, Thunderbird 1.5.x sowie die Browser-Suite SeaMonkey 1.x stehen ab sofort Patches bereit, um verschiedene darin befindliche Sicherheitslecks zu schließen. Firefox 1.5.0.4 beseitigt insgesamt 12 Sicherheitslecks, wovon immerhin 5 Lücken als kritisch eingestuft werden. Thunderbird 1.5.0.4 korrigiert 8 Sicherheitslöcher, allerdings trägt hier nur eines die Gefahrenstufe kritisch.

Artikel veröffentlicht am ,

Fünf der zwölf Sicherheitslücken in Firefox betreffen ausschließlich den Browser, während die übrigen Sicherheitslecks sowohl in Firefox als auch in Thunderbird stecken. Ein als kritisch bewertetes Sicherheitsloch im "nsISelectionPrivate"-Interface erlaubt einem Angreifer das Ausführen von Schadcode über entsprechend präparierte Webseiten. Beim nachträglichen Installieren fehlender Browser-Plug-Ins sorgt ein Fehler dafür, dass Angreifer beliebigen JavaScript-Code ausführen können.

Stellenmarkt
  1. (Senior) Berater (m/w/d) im Bereich Geschäftsprozessanalyse und Prozessoptimierung
    PROTEMA Unternehmensberatung GmbH, Stuttgart-Degerloch
  2. Product Owner Digitale Akte (m/w/d)
    L-Bank, Karlsruhe
Detailsuche

Eine Cross-Site-Scripting-Attacke ist nur mit der Windows-Version von Firefox möglich, indem ein defekter Bild-Link auf eine Webseite gestellt und der Nutzer zum Aufruf der Funktion "Bild anzeigen" gebracht wird. Ebenfalls über einen kaputten Bild-Link und die Bild-anzeigen-Funktion lassen sich lokale Daten abgreifen und ausspionieren. Zudem sorgt ein Fehler bei der Verarbeitung von Texteingabefeldern dafür, dass ein Angreifer auf Dateien auf dem lokalen Rechner zugreifen kann.

Die nachfolgenden Sicherheitslücken in Firefox und Thunderbird werden von den Entwicklern unterschiedlich gefährlich bewertet. Demnach stellen die vier folgenden Sicherheitslecks in Firefox ein größeres Risiko dar als in Thunderbird. Ein Buffer Overflow in der Funktion crypto.signText() erlaubt einem Angreifer die Ausführung von Schadcode, was auch bei der fehlerhaften Verarbeitung von XUL-Attributen mit einer falsch verknüpften URL passiert. Ein Fehler in der Funktion der "Object Prototypes" erlaubt ebenfalls eine weit reichende Kontrolle über ein fremdes System und die Entwickler haben verschiedene Fehler korrigiert, die eine Speicherbeschädigung nach sich ziehen konnten.

Cross-Site-Scripting-Angriffe und eine Rechteausweitung zieht ein Unicode-Fehler in Firefox und Thunderbird nach sich. Ebenfalls eine Rechteausweitung verschafft sich ein Angreifer durch den Einsatz von JavaScript-Code per "EvalInSandbox" und kann so aus der Sandbox ausbrechen. Bei Einsatz von Proxy-Servern werden HTTP-Header nicht korrekt verarbeitet, so dass Angreifer schadhafte HTTP-Antworten einschmuggeln können.

Ein weiteres Sicherheitsloch in Thunderbird erlaubt einem Angreifer, über eine manipulierte vCard-Datei schadhafte Befehle auszuführen. Mit der Version 1.5.0.4 von Thunderbird steht der E-Mail-Client für MacOS X auch als Universal Binary bereit, um nun direkt auf Intel-Macs zu laufen. Die aufgelisteten Sicherheitslücken in Firefox und Thunderbird betreffen auch SeaMonkey, das gleichfalls in einer neuen Version bereitsteht. In allen drei Mozilla-Applikationen soll außerdem die Zuverlässigkeit und Stabilität der Software verbessert worden sein.

Firefox 1.5.0.4, Thunderbird 1.5.0.4 sowie SeaMonkey 1.0.2 stehen ab sofort für die Plattformen Windows, Linux und MacOS X unter anderem in deutscher Sprache zum Download bereit. Für Firefox steht der Patch in einer inkrementellen Version bereit, die über die Update-Funktion des Browsers eingespielt werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


fischkuchen 10. Jun 2006

*Ausbuddel* Gestern kam bei mir der Patch auf 1.5.0.4

Meiler 05. Jun 2006

Plugins können neue Einfallstore und Instabilität mit sich führen, daher fände ich es...

blubb 05. Jun 2006

Nicht nur das. Der neue Firefox 1.5.0.4 hat auch Probleme in der Darstellung von...

hmhmhm 04. Jun 2006

Ja, statt einen Browser zu benutzen um lüstern ein paar Bilderchen zu betrachten, mal...

Autor 02. Jun 2006

heise ... Wer?



Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
    Pixel 6 (Pro)
    Googles Tensor-SoC ist eine wilde Mischung

    Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
    Eine Analyse von Marc Sauter

  2. Apple, Amazon, Facebook: New World erlaubt Charaktertransfers
    Apple, Amazon, Facebook
    New World erlaubt Charaktertransfers

    Sonst noch was? Was am 20. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /