Firefox 1.5.0.4, Thunderbird 1.5.0.4 und SeaMonkey 1.0.2 da

Thunderbird 1.5.0.4 als Universal Binary für MacOS X zu haben

Für die drei Mozilla-Applikationen Firefox 1.5.x, Thunderbird 1.5.x sowie die Browser-Suite SeaMonkey 1.x stehen ab sofort Patches bereit, um verschiedene darin befindliche Sicherheitslecks zu schließen. Firefox 1.5.0.4 beseitigt insgesamt 12 Sicherheitslecks, wovon immerhin 5 Lücken als kritisch eingestuft werden. Thunderbird 1.5.0.4 korrigiert 8 Sicherheitslöcher, allerdings trägt hier nur eines die Gefahrenstufe kritisch.

Artikel veröffentlicht am ,

Fünf der zwölf Sicherheitslücken in Firefox betreffen ausschließlich den Browser, während die übrigen Sicherheitslecks sowohl in Firefox als auch in Thunderbird stecken. Ein als kritisch bewertetes Sicherheitsloch im "nsISelectionPrivate"-Interface erlaubt einem Angreifer das Ausführen von Schadcode über entsprechend präparierte Webseiten. Beim nachträglichen Installieren fehlender Browser-Plug-Ins sorgt ein Fehler dafür, dass Angreifer beliebigen JavaScript-Code ausführen können.

Stellenmarkt
  1. Scientific IT Gruppenleitung (m/w/d)
    Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut EMI, Freiburg
  2. Java Anwendungsentwickler (w/m/d) Backend
    ING Deutschland, Frankfurt am Main
Detailsuche

Eine Cross-Site-Scripting-Attacke ist nur mit der Windows-Version von Firefox möglich, indem ein defekter Bild-Link auf eine Webseite gestellt und der Nutzer zum Aufruf der Funktion "Bild anzeigen" gebracht wird. Ebenfalls über einen kaputten Bild-Link und die Bild-anzeigen-Funktion lassen sich lokale Daten abgreifen und ausspionieren. Zudem sorgt ein Fehler bei der Verarbeitung von Texteingabefeldern dafür, dass ein Angreifer auf Dateien auf dem lokalen Rechner zugreifen kann.

Die nachfolgenden Sicherheitslücken in Firefox und Thunderbird werden von den Entwicklern unterschiedlich gefährlich bewertet. Demnach stellen die vier folgenden Sicherheitslecks in Firefox ein größeres Risiko dar als in Thunderbird. Ein Buffer Overflow in der Funktion crypto.signText() erlaubt einem Angreifer die Ausführung von Schadcode, was auch bei der fehlerhaften Verarbeitung von XUL-Attributen mit einer falsch verknüpften URL passiert. Ein Fehler in der Funktion der "Object Prototypes" erlaubt ebenfalls eine weit reichende Kontrolle über ein fremdes System und die Entwickler haben verschiedene Fehler korrigiert, die eine Speicherbeschädigung nach sich ziehen konnten.

Cross-Site-Scripting-Angriffe und eine Rechteausweitung zieht ein Unicode-Fehler in Firefox und Thunderbird nach sich. Ebenfalls eine Rechteausweitung verschafft sich ein Angreifer durch den Einsatz von JavaScript-Code per "EvalInSandbox" und kann so aus der Sandbox ausbrechen. Bei Einsatz von Proxy-Servern werden HTTP-Header nicht korrekt verarbeitet, so dass Angreifer schadhafte HTTP-Antworten einschmuggeln können.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    19./20.12.2022, Virtuell
Weitere IT-Trainings

Ein weiteres Sicherheitsloch in Thunderbird erlaubt einem Angreifer, über eine manipulierte vCard-Datei schadhafte Befehle auszuführen. Mit der Version 1.5.0.4 von Thunderbird steht der E-Mail-Client für MacOS X auch als Universal Binary bereit, um nun direkt auf Intel-Macs zu laufen. Die aufgelisteten Sicherheitslücken in Firefox und Thunderbird betreffen auch SeaMonkey, das gleichfalls in einer neuen Version bereitsteht. In allen drei Mozilla-Applikationen soll außerdem die Zuverlässigkeit und Stabilität der Software verbessert worden sein.

Firefox 1.5.0.4, Thunderbird 1.5.0.4 sowie SeaMonkey 1.0.2 stehen ab sofort für die Plattformen Windows, Linux und MacOS X unter anderem in deutscher Sprache zum Download bereit. Für Firefox steht der Patch in einer inkrementellen Version bereit, die über die Update-Funktion des Browsers eingespielt werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


fischkuchen 10. Jun 2006

*Ausbuddel* Gestern kam bei mir der Patch auf 1.5.0.4

Meiler 05. Jun 2006

Plugins können neue Einfallstore und Instabilität mit sich führen, daher fände ich es...

blubb 05. Jun 2006

Nicht nur das. Der neue Firefox 1.5.0.4 hat auch Probleme in der Darstellung von...

hmhmhm 04. Jun 2006

Ja, statt einen Browser zu benutzen um lüstern ein paar Bilderchen zu betrachten, mal...



Aktuell auf der Startseite von Golem.de
40 Jahre nach dem Tod von Philip K. Dick
Die Filmwelten eines visionären Autors

Vor 40 Jahren starb Philip K. Dick. Das Vermächtnis des visionären Science-Fiction-Autors lebt mit vielen Filmen und Serien fort.
Von Peter Osteried

40 Jahre nach dem Tod von Philip K. Dick: Die Filmwelten eines visionären Autors
Artikel
  1. Cloudgaming: Google Stadia scheiterte nur an sich selbst
    Cloudgaming
    Google Stadia scheiterte nur an sich selbst

    Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
    Eine Analyse von Daniel Ziegener

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. Tiktok-Video: Witz über große Brüste kostet Apple-Manager den Job
    Tiktok-Video
    Witz über große Brüste kostet Apple-Manager den Job

    Er befummle von Berufs wegen großbrüstige Frauen, hatte ein Apple Vice President bei Tiktok gewitzelt. Das kostete ihn den Job.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /