Sicherheitslücken: Updates für Firefox, Thunderbird und Seamonkey (Update)
Mit Updates für Firefox und Thunderbird werden diverse und zum Teil kritische Sicherheitslücken in der Software geschlossen. Da beide Applikationen zum Teil den gleichen Code verwenden, weisen sowohl Firefox als auch Thunderbird mitunter die gleichen Fehler auf.
Dazu zählt ein von Aki Helin entdeckter Fehler im Umgang mit PNG-Grafiken(öffnet im neuen Fenster) , der zu einem Pufferüberlauf führen und somit möglicherweise zur Ausführung fremden Codes ausgenutzt werden kann. Über eine weitere Lücke ist es möglich, beliebigen Javascript-Code mit den Rechten des Browser-Chromes(öffnet im neuen Fenster) auszuführen. Zu einem Buffer-Overflow kann auch ein Array mit 16-Bit-Werten führen(öffnet im neuen Fenster) , in dem CSS-Daten abgelegt werden, so dass auch hierüber die Ausführung fremden Codes möglich ist. Ähnliches gilt für das Selection-Attribut des XUL-Tree-Elements(öffnet im neuen Fenster) sowie mehrere Speicherfehler(öffnet im neuen Fenster) , die die Mozillaentwickler identifiziert haben.
Andere kritische Fehler betreffen ausschließlich Firefox: Dazu zählt ein Fehler beim Klonen von DOM-Attributen(öffnet im neuen Fenster) , ein Fehler im NodeIterator(öffnet im neuen Fenster) und ein Fehler beim Speichern von Parameter-Elementen für Plugins(öffnet im neuen Fenster) . Sie alle könnten Angreifer nutzen, um eigenen Code auszuführen.
Hinzu kommen weitere nicht kritische Fehler, die die Entwickler beseitigt haben. Diese sind dem Security Advisories für Firefox 3.6(öffnet im neuen Fenster) bzw. der Buglist von Thunderbird zu entnehmen(öffnet im neuen Fenster) .
Firefox 3.6.7(öffnet im neuen Fenster) und Thunderbird 3.1.1(öffnet im neuen Fenster) stehen ab sofort für Windows, Linux und Mac OS X zum Download bereit.
Nachtrag vom 21. Juli 2010, 9:50 Uhr:
Parallel mit Firefox 3.6.7 und Thunderbird 3.1.1 wurden auch ältere Versionen von Firefox und Thunderbird sowie die Browser-Suite Seamonkey aktualisiert. Seamonkey ist von den meisten der Sicherheitslücken aus Firefox ebenfalls betroffen. Vor drei Fehlern bleibt Seamonkey aber verschont. Die übrigen Sicherheitslücken werden mit dem Update auf Seamonkey 2.0.6(öffnet im neuen Fenster) für Windows, Linux und Mac OS X beseitigt. Außerdem korrigiert die aktuelle Seamonkey-Version Fehler bei der Benachrichtigung über Sicherheitsupdates und beim Import von Passwortdaten einer Installation von Seamonkey 1.x. Darüber hinaus versprechen Fehlerkorrekturen eine größere Zuverlässigkeit der Browser-Suite.
Auch die ältere Firefox-Version 3.5.x ist von drei Sicherheitslücken nicht betroffen, so dass Firefox 3.5.11(öffnet im neuen Fenster) für Windows, Linux und Mac OS X wie auch Seamonkey 2.0.6 alle übrigen Sicherheitslücken beseitigt. Das Update auf Thunderbird 3.0.6(öffnet im neuen Fenster) für Windows, Linux und Mac OS X korrigiert drei Sicherheitslücken weniger als Thunderbird 3.1.1. [von Jens Ihlenfeld und Ingo Pakalski]