Sicherheitspatches für Firefox, SeaMonkey und Camino
Einige als gefährlich eingestufte Sicherheitslücken stecken in Firefox 2, 3 und SeaMonkey gleichermaßen. Angreifer können mit Hilfe präparierter Webseiten auf fremden Systemen beliebigen Programmcode ausführen und ein fremdes System unter Kontrolle bringen. Alle Angriffe sind nur möglich, wenn das Opfer JavaScript im Browser aktiviert hat.
In den Funktionen zum Wiederherstellen einer Browsersession von Firefox 2 und 3 befindet sich ein Sicherheitsleck, das ebenfalls als gefährlich eingestuft wird. Denn darüber lässt sich Schadcode ausführen, indem Sessiondaten von Firefox entsprechend manipuliert und diese beim Programmstart geladen werden.
In Firefox 2 und 3 sowie SeaMonkey wurden zwei weitere Sicherheitslöcher gefunden, über die vertrauliche Daten ausgespäht werden können. Mit den Patches werden außerdem zwei andere Sicherheitslecks in Firefox 2, 3 und SeaMonkey geschlossen, die als unkritisch angesehen werden, weil damit nicht direkt schädliche Handlungen durchgeführt werden können.
Ein weiteres Sicherheitsleck steckt nur in Firefox 3 und erlaubt Angreifern aufgrund eines Fehler bei der Verarbeitung von XUL-Elementen das Schreiben von Cookie-Daten auf einem fremden System. Das funktioniert auch, wenn das Speichern von Cookies im Browser deaktiviert oder beschränkt wurde. Die Cookie-Daten können dann von anderen Webseiten ausgelesen werden, um so das Browserverhalten des Opfers zu beobachten.
Das Update auf Firefox 3.0.5 beseitigt außerdem einige kleinere Programmfehler, so dass der Browser insgesamt stabiler und zuverlässiger zu Werke gehen sollte.
Firefox 2, SeaMonkey 1.1 sowie Thunderbird 2 betrifft ein Sicherheitsloch in den XBL-Binding-Funktionen, das als mittelschwer eingestuft wurde. Damit lassen sich Daten aus anderen Domains auslesen, allerdings muss das Opfer im Vorfeld das ID-Attribut des XBL-Bindings kennen, damit Angreifer diesen Fehler ausnutzen können. Zudem sei es unüblich, dass Webdienste auf diesem Wege vertrauliche Informationen weitergeben.
Schließlich wird mit Firefox 2.0.0.19 ein weiteres Sicherheitsleck geschlossen, das allein Firefox 2 betrifft. Bei der Feed-Vorschau kommt es zu einem Fehler, so dass Angreifer beliebigen JavaScript-Code ausführen und so verschiedene Befehle auf einem fremden System ausführen können. Sie müssen dazu ihr Opfer nur dazu verleiten, entsprechend präparierte Feed-Daten in der Vorschau anzusehen.
Einige der mit Firefox 2.0.0.19 geschlossenen Sicherheitslücken finden sich auch in Thunderbird 2. Das Update auf die Version 2.0.0.19 von Thunderbird ist allerdings wie üblich noch nicht verfügbar.
Für die Firefox-2-Plattform steht mit der Version 2.0.0.19 das letzte Update bereit. Neue Versionen von Firefox 2 sind nicht geplant. Daher sind Firefox-Nutzer aufgerufen, bald auf die Version 3 des Browsers zu wechseln. In Firefox 2.0.0.19 ist außerdem der bisher standardmäßig zu findende Phishing-Filter nicht mehr enthalten .
Auch für den Camino-Browser ist ein Update erschienen. Wie üblich machte der Anbieter keine weiteren Angaben zu den beseitigten Sicherheitslecks. Vermutlich wird es sich um die Sicherheitslöcher drehen, die in Firefox 2 gefunden wurden. Mit Camino 1.6.6 wird außerdem der Werbefilter überarbeitet, weitere Neuerungen gibt es nicht.
Firefox 3.0.5(öffnet im neuen Fenster) sowie Firefox 2.0.0.19(öffnet im neuen Fenster) sind für Windows, Linux und MacOS X als Download und über die Updatefunktion des Browsers verfügbar. Ebenfalls für Windows, Linux und MacOS X gibt es die Browsersuite SeaMonkey 1.1.14(öffnet im neuen Fenster) als Download. Camino steht in der Version 1.6.6(öffnet im neuen Fenster) nur für MacOS X bereit.