Die Mozilla Foundation hat die Firefox-Version 3.0.4 freigegeben, in der neun Sicherheitslücken beseitigt sind. Vier davon stufen die Entwickler als kritisch ein, da ein Angreifer dadurch seinen Code auf dem System seines Opfers ausführen kann. Einer der kritischen Fehler ist ein klassischer Buffer Overflow, der beim Parsen präparierter Server-Antworten auftritt.
Ein Fehler in der Sitzungswiederherstellung des Browsers nach einem Absturz kann dazu führen, dass Firefox beim Ausführen von JavaScripts die Same-Origin-Policy verletzt und der Code im Kontext einer anderen Site läuft. Angreifer könnten aus der Ferne durch einen gezielten Absturz und anschließenden Neustart etwa die Zugangsdaten zu anderen Webseiten stehlen.
Bei zwei der kritischen Lücken wurden zwar bislang nur Abstürze beobachtet, die Entwickler vermuten aber, dass sich die Fehler auch zum Einschleusen und Ausführen von Code missbrauchen lassen, da es sich um Speicherfehler (Memory Corruptions) handelt. Durch einen Fehler in der Same-Origin-Prüfung in der Funktion nsXMLHttpRequest::NotifyEventListeners können Angreifer ebenfalls JavaScript im Kontext der falschen Seite ausführen, jedoch stufen die Entwickler das Problem nur als "hoch" ein.
In Firefox 2.0.0.18 und SeaMonkey 1.1.13 wurden zwei zusätzliche kritische Lücken geschlossen, wovon beide auf Speicherfehler zurückzuführen sind und hauptsächlich Abstürze verursachen, der Missbrauch zur Infektion eines Systems jedoch nicht ausgeschlossen wird. Unter anderem können präparierte Shockwave-Dateien das Flash-Modul entladen, den Browser aber noch auf den eigentlich nicht mehr gemappten Speicherbereich zugreifen lassen.
Mehrere der Fehler finden sich auch im Mail-Client Thunderbird und sollen in der Version 2.0.0.18 behoben werden. Üblicherweise erscheint eine aktualisierte Thunderbird-Version jedoch erst einige Tage nach den Browser-Releases – so auch diesmal.
Anwender der Firefox-Version 2.x sollten ein Upgrade auf Version 3.x ins Auge fassen, da die Entwickler weiterhin das Ende des Supports für 2.x für Mitte Dezember ankündigen. Dann gibt es auch keine Sicherheits-Update mehr. Zwar hatten die Entwickler über eine mögliche Verlängerung des Support-Zeitraums diskutiert, auch weil Thunderbird noch auf die alte Gecko-Engine setzt, offenbar hat man sich jedoch noch nicht dazu durchringen können.
Siehe dazu auch
(dab/c't)
