PDA

View Full Version : Software Mehrere kritische Lücken in Firefox und Thunderbird beseitigt



BlackFog
20.12.2006, 11:02
Die Mozilla Foundation[1] hat neue Versionen ihres Browsers und ihres Mail-Clients für Windows, Linux und Mac OS X veröffentlicht, in der mehrere kritische Sicherheitslücken beseitigt sind. Ein Angreifer konnte darüber die Kontrolle über den Rechner übernehmen. Dazu genügt bereits der Besuch einer manipulierten Webseite oder das Öffnen einer bösartigen Mail. Die Aktualisierungen werden bereits über das automatische Update verteilt.

In Firefox 2.0.0.1[2] sind insgesamt acht Lücken[3] geschlossen, fünf davon stufen die Entwickler als kritisch ein. Dazu gehören unter anderem ein Speicherzugriffsfehler beim Verarbeiten von SVG-Comment-Objects (Scalable Vector Graphics), über den sich Code einschleusen und ausführen lassen soll. Nicht ganz so einfach soll sich nach Einschätzung des Fehlerberichts der Mozilla-Foundation ein Fehler im LiveConnect-Code ausnutzen lassen, der die Kommunikation zwischen JavaScript und Java Applets ermöglicht. In der Regel stürze der Browser bei einem Angriff nur ab, man schließe aber nicht aus, dass mit einiger Anstrengung auch Codeausführung möglich ist. Da Thunderbird standardmäßig keine Applets lädt, kann das Problem dort eigentlich nicht auftreten – dennoch ist der fehlerhafte Code auch dort enthalten.

Zudem können Angreifer über die JavaScript-Methode watch() zum Beobachten von Werten in Skripten einen Rechner mit Schadcode infizieren. Genauere Angaben macht die Mozilla Foundation nicht, auf allen Bugzilla-Einträgen zu den Fehlern liegt während der "aktiven Update-Periode" noch ein Embargo. Teilweise veröffentlichen aber die Entdecker der Lücken bereits ihre eigenen Fehlerberichte.

Ein Heap Overflow tritt zudem bei der Umwandlung von präparierten Bildern in Windows-Bitmaps auf. Dazu müssen aber laut Bericht zusätzlich die Eigenschaften des CSS-Cursors in einer Seite manipuliert werden. Von dem Fehler ist nur die Windows-Version von Firefox betroffen.

Darüber hinus wurde die Stabilität der Browser verbessert, sodass weniger Abstürze auftreten sollen. Da einige dieser Abstürze Hinweise auf Speicherlecks lieferten, über die Angreifer eventuell Code in den Speicher schreiben und anspringen können, hat man dieses Problem ebenfalls als kritisch eingestuft.

Schlußendlich wurden noch zwei Cross-Site-Scripting-Schwachstellen (XSS) beseitigt und ein Problem mit RSS-Feeds behoben. Eine der XSS-Lücken findet sich nur in Firefox 2.0, die anderen Lücken wurden auch in Firefox 1.5.0.9[4] und Thunderbird 1.5.0.9[5] korrigiert. In SeaMonkey 1.0.7 sind die Fehler ebenfalls ausgemerzt. Für Firefox 2.0.0.1 erwähnen die Entwickler explizit, dass nun auch Windows Vista unterstützt wird – allerdings noch mit einigen Problemen[6]; so sind etwa einige Maßnahmen zu beachten für das automatische Update, auch kann Firefox noch nicht zum Default-Webbrowser unter Vista gemacht werden. Die Entwickler erwähnen zudem zwar in den Release-Notes für Thunderbird 1.5.0.9 den Fehler[7] mit teilweise unaufgefordert gelöschten Mails nicht, laut dem Eintrag in Bugzilla[8] wurde der Fehler aber mit der Version 1.5.0.9 korrigiert.

Firefox 2.0.0.1[9] und 1.5.0.9[10] sowie Thunderbird 1.5.0.9[11] stehen in diversen Landessprachen, darunter Deutsch, über die Downloadseiten von Mozilla bereit, werden aber auch über das Software-Update der Anwendungen verteilt. Firefox 1.0.x und Thunderbird 1.0.x werden nicht mehr unterstützt, sodass die Fehler dort nicht mehr behoben werden. Anwender sollten auf die aktuellen Releases wechseln.

Siehe dazu auch:

* Known Vulnerabilities in Mozilla Products[12], Fehlerberichte der Mozilla Foundation

(dab[13]/c't) (dab/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/82789

Links in diesem Artikel:
[1] http://www.mozilla.org/
[2] http://www.mozilla.com/en-US/firefox/2.0.0.1/releasenotes/
[3] http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.1
[4] http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.9
[5] http://www.mozilla.org/projects/security/known-vulnerabilities.html#thunderbird1.5.0.9
[6] http://www.mozilla.com/en-US/firefox/2.0.0.1/releasenotes/#vista
[7] http://www.heise.de/newsticker/meldung/81529
[8] https://bugzilla.mozilla.org/show_bug.cgi?id=360409
[9] http://www.mozilla.com/en-US/firefox/all.html
[10] http://www.mozilla.com/en-US/firefox/all-older.html
[11] http://www.mozilla.com/en-US/thunderbird/all.html
[12] http://www.mozilla.org/projects/security/known-vulnerabilities.html
[13] mailto:dab@ct.heise.de
Unerwähnt bleibt natürlich mein erfüllter Request, die Doppelbelegung des Buchstabens "d" im Dateimenü zu korrigieren. :rolleyes: Bei 2.0.0 war der sowohl für "Drucken..." als auch für "Link senden..." :wallbash: Ich weis, das haben bestimmt alle bemerkt... :p
Wens inseressiert, der sucht nach Bugzilla Bug #357250 auf https://bugzilla.mozilla.org/.


BlackFog

Deadman
12.03.2007, 10:49
Spoofing-Schwachstelle in Firefox entdeckt


Laut Michal Zalewski (http://lcamtuf.coredump.cx/) kann eine Schwachstelle in Firefox Phishern das Leben erleichtern und die wahre Herkunft von Internetseiten verschleiert werden, so dass man glaubt auf der tatsächlichen Internetpräsenz einer Bank, eBay, Paypal oder einer ähnlicher Anlaufstelle gelangt zu sein, auf der Mann gerne seine privaten Daten bekannt gibt.

Der Fehler liegt nach Zalewskis angaben im Umgang von Firefox mit der URL about:blank. Diese öffnet in der Regel eine leere Seite und zeigt keine URL in der Adresszeile oder Information in der Titelzeile des Fensters.
Javascripte können an dieser stelle die Fenster mit Inhalt füllen. Normalerweise wäre es nicht möglich dort falsche URLs anzeigen zu lassen, da aber in about:blank keine Kontrolle der document:location geschieht geht es trotzdem.

Abhilfe dürfte derzeit nur das Abschalten von JavaScript oder der Einsatz des FF-Plug-ins NoScript (http://www.erweiterungen.de/detail/NoScript/) bringen, das Scripting nur auf bekannten vertrauenswürdigen Seiten erlaubt.

Quelle: vgl. heise.de (http://www.heise.de/newsticker/meldung/86546)