SECURITY -Firefox-Update schließt kritische Sicherheitslücken
Das Mozilla-Projekt liefert die Version 2.0.0.13 des populären, quelloffenen Webbrowsers Firefox aus. Sie behebt einige kritische Schwachstellen, durch die Angreifer Schadcode einschleusen oder etwa Seiteninhalte fälschen können.
Mehrere Scherheitslücken betreffen JavaScript. Angreifer können aufgrund fehlerhafter Verarbeitung fremden Code mit maximalen Rechten im Browser ausführen, aber auch Cross-Site-Scripting wird dadurch ermöglicht (MFSA-2008-14 und MFSA-2008-15). Die Fehlermeldung MSFA-2008-18 beschreibt eine Schwachstelle, durch die Java-Applets auf alle Ports des lokalen Rechners zugreifen können – Sun hat der Sicherheitsmeldung der Mozilla-Entwickler zufolge einen Bugfix in den aktuellen Java-Runtimes integriert, aber auch die Programmierer von Mozilla haben in der neuen Version Gegenmaßnahmen eingeführt.
Ein weiteres Sicherheitsleck ermöglicht Angreifern, mit präparierten Webseiten ein rahmenloses Pop-up-Fenster aus einem Tab im Hintergrund heraus zu fälschen und vor den aktiven Tab des Anwenders zu legen. Damit könnten sie Formularbestandteile fälschen und beispielsweise Login-Daten zu Webseiten abphishen, außerdem Angreifer den Schutz einiger Webseiten vor einer sogenannten Cross-Site Request Forgery (CSRF) aushebeln, wenn der serverseitige Schutz lediglich auf einer Referrer-Prüfung basiert, da sich die HTTP Referrer fälschen ließen (MSFA-2008-16). Zudem könnten die Mozilla-Browser aufgrund einer weiteren Schwachstelle persönliche Daten eines Anwenders preisgeben, wenn der Anwender bereits ein persönliches Zertifikat besitzt, das der Browser automatisch bei jeder SSL-Client-Authentifizierung vorzeigt – nach dem Update fragt der Browser laut Fehlerbericht MFSA-2008-17 jetzt vor der Übertragung beim Anwender nach, wenn eine Webseite ein Client-Zertifikat anfordert.
Mehrere Scherheitslücken betreffen JavaScript. Angreifer können aufgrund fehlerhafter Verarbeitung fremden Code mit maximalen Rechten im Browser ausführen, aber auch Cross-Site-Scripting wird dadurch ermöglicht (MFSA-2008-14 und MFSA-2008-15). Die Fehlermeldung MSFA-2008-18 beschreibt eine Schwachstelle, durch die Java-Applets auf alle Ports des lokalen Rechners zugreifen können – Sun hat der Sicherheitsmeldung der Mozilla-Entwickler zufolge einen Bugfix in den aktuellen Java-Runtimes integriert, aber auch die Programmierer von Mozilla haben in der neuen Version Gegenmaßnahmen eingeführt.
Ein weiteres Sicherheitsleck ermöglicht Angreifern, mit präparierten Webseiten ein rahmenloses Pop-up-Fenster aus einem Tab im Hintergrund heraus zu fälschen und vor den aktiven Tab des Anwenders zu legen. Damit könnten sie Formularbestandteile fälschen und beispielsweise Login-Daten zu Webseiten abphishen, außerdem Angreifer den Schutz einiger Webseiten vor einer sogenannten Cross-Site Request Forgery (CSRF) aushebeln, wenn der serverseitige Schutz lediglich auf einer Referrer-Prüfung basiert, da sich die HTTP Referrer fälschen ließen (MSFA-2008-16). Zudem könnten die Mozilla-Browser aufgrund einer weiteren Schwachstelle persönliche Daten eines Anwenders preisgeben, wenn der Anwender bereits ein persönliches Zertifikat besitzt, das der Browser automatisch bei jeder SSL-Client-Authentifizierung vorzeigt – nach dem Update fragt der Browser laut Fehlerbericht MFSA-2008-17 jetzt vor der Übertragung beim Anwender nach, wenn eine Webseite ein Client-Zertifikat anfordert.
Die meisten Sicherheitslücken betreffen auch das Mailprogramm Thunderbird und die Browser-Suite Seamonkey. In den Sicherheitsmeldungen verweisen die Mzilla-Entwickler auf die Versionen Thunderbird 2.0.0.13 und Seamonkey 1.1.9, die die Fehler beseitigen sollen; diese Updates werden aber noch nicht automatisch ausgeliefert. Firefox-Nutzer sollten das Update umgehend einspielen, da sich durch die Lücken mit manipulierten Webseiten etwa ein Trojaner einschleusen lässt. (Quelle:heise.de)
- Fixed in Firefox 2.0.0.13, Übersicht der geschlossenen Sicherheitslücken von den Mozilla-Entwicklern
Labels: security firefox update
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite