• IT-Karriere:
  • Services:

Sicherheits-Patches für Firefox und Co.

Letzte Updates für Firefox 1.5.x und SeaMonkey 1.0.x

Von den Mozilla-Applikationen Firefox, Thunderbird und SeaMonkey sind neue Versionen verfügbar, die eine Reihe von Sicherheitslücken in den Applikationen schließen. Unter anderem können die Sicherheitslöcher von Angreifern dazu missbraucht werden, schadhaften Programmcode auszuführen.

Artikel veröffentlicht am ,

Mit diesem Patch-Zyklus erscheinen das letzte Mal Updates für Firefox 1.5.x sowie SeaMonkey 1.0.x, weil der Support-Zeitraum dafür nun endet. Für Thunderbird 1.5.x endet der Support erst im Oktober 2007, weil die Version 2.0 des E-Mail-Clients deutlich später erschienen ist als Firefox 2.0.

Stellenmarkt
  1. Mugler AG, Oberlungwitz
  2. Stadt Paderborn, Paderborn

Mit den neuen Versionen von Firefox und SeaMonkey werden eine Reihe von Fehlern korrigiert, über die Angreifer im schlimmsten Fall beliebigen Code ausführen oder die die Software zum Absturz bringen können. Diese Fehler betreffen auch Thunderbird, sofern darin JavaScript bei der Anzeige von HTML-Nachrichten aktiviert wird. Dies ist standardmäßig aber nicht der Fall.

In Firefox und SeaMonkey wurden noch drei Sicherheitslücken ausgemacht. Eine davon kann zum Ausspähen von Daten verwendet werden, während ein Fehler in den Popup-Funktionen für Spoofing-Angriffe genutzt werden kann. Zwei weitere Fehler treten in Verbindung mit Browser-Cookies auf. Der eine Fehler kann dazu führen, dass die Festplatte mit sinnlosen Daten beschrieben wird und der zweite führt zu einer fehlerhaften Interpretation von Cookie-Daten.

In Thunderbird und SeaMonkey steckt ein Sicherheitsleck in der APOP-Authentifikation, mit der Angreifer im ungünstigsten Fall Teile des Postfach-Passwortes ausspähen können. Dies ist aber nur über einen E-Mail-Server möglich, der unter der Kontrolle des Angreifers steht. Einschränkend betonen die Entwickler, dass es mehrere Stunden dauert, bis ein Angreifer Teile des Kennwortes herausfinden kann.

Ein weiteres Sicherheitsloch betrifft nur Firefox und darin die Autovervollständigen-Funktion. Diese kann für Denial-of-Service-Attacken missbraucht werden, indem schadhafte Formulardaten in eine Webseite eingegeben werden. Zudem soll die Browser-Engine von Firefox, SeaMonkey und Thunderbird ein paar Fehler weniger haben und mehr Webseiten akkurat darstellen.

Die hier beschriebenen Sicherheitslücken werden mit den aktuellen Versionen von Firefox, Thunderbird sowie SeaMonkey korrigiert. So gibt es Firefox in den Versionen 1.5.0.12 sowie 2.0.4 und Thunderbird in der Version 1.5.0.12 jeweils für Windows, Linux und MacOS X. SeaMonkey ist in der Version 1.0.9 sowie 1.1.2 ebenfalls für Windows, Linux und MacOS X verfügbar. Die beschriebenen Sicherheitslücken betreffen auch Thunderbird 2.x, aber das in den Security Bulletins angesprochene Update auf die Version 2.0.4 von Thunderbird ist bislang nicht zu finden. Die neuen Versionen werden außerdem über die Update-Funktion der Programme verteilt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Anno 2205 Ultimate Edition für 11,99€, Rayman Legends für 4,99€, The Crew 2 - Gold...
  2. 26,99€
  3. (u. a. Yu-Gi-Oh! Legacy of the Duelist für 7,20€, Yu-Gi-Oh! ARC-V: ARC League Championship für...
  4. 19,49€

Gartenzwerg 15. Jun 2007

Hab neulich mal aus Neugier Seemonkey 1.1.1 installiert (ist noch drauf). Beim...

mal anders 31. Mai 2007

Och, das geht auf meinem super, ich muss es nur mit einem Passwort bestätigen - damit...

Hartz4Georg 31. Mai 2007

kwt

Netspy 31. Mai 2007

Ja, das ist irgendwie schwachsinnig aber eben trotzdem syntaktisch richtig und von einem...

OpenSource 31. Mai 2007

Du weißt falsch ;-) Firefox ist OpenSource. Ja. Soll ich Dir ne Batterie für Deinen...


Folgen Sie uns
       


Sega Mega Drive (1990) - Golem retro_

Mit Mega-Power sagte Sega 1990 der Konkurrenz den Kampf an. Im Golem retro_ holen wir uns die Spielhalle nach Hause.

Sega Mega Drive (1990) - Golem retro_ Video aufrufen
Whatsapp, Signal, Telegram: Regierung fordert Nutzerverifizierung bei Messengern
Whatsapp, Signal, Telegram
Regierung fordert Nutzerverifizierung bei Messengern

Ebenfalls auf der Wunschliste des Innenministeriums: Provider sollen für Staatstrojaner Datenströme umleiten und Ermittlern Zugang zu Servern erlauben.
Ein Bericht von Friedhelm Greis

  1. Großbritannien Datenleck bei Kindergarten-Überwachungskameras
  2. Überwachungsgesamtrechnung "Weiter im Überwachungsnebel waten"
  3. Überwachung Bundesrat stimmt gegen Bestandsdatenauskunft

No-Regret-Infrastruktur: Wasserstoffnetze für Stahl und Chemie
No-Regret-Infrastruktur
Wasserstoffnetze für Stahl und Chemie

Die Organisation Agora Energiewende schlägt vor, sich beim Bau von Wasserstoffleitungen und Speichern zunächst auf wenige Regionen zu konzentrieren.
Von Hanno Böck

  1. Brennstoffzellenfahrzeug Fraunhofer IFAM entwickelt wasserstoffspeichernde Paste
  2. Wasserstoff Lavo entwickelt Wasserstoffspeicher fürs Eigenheim
  3. Energiewende EWE baut einen Wasserstoffspeicher bei Berlin

Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

    •  /