Drei Lücken haben die Mozilla-Entwickler geschlossen, wobei eine davon ausschließlich für Mac OS X-Systeme gefährlich war. Alle drei werden in den Mozilla Security Advisories als kritisch eingestuft. Ob sich bei den geschlossenen Lücken um jene handelt, die direkt nach dem Start der neuen Browser-Generation bekannt geworden waren, hat Mozilla nicht mitgeteilt.

Der erste Fehler betraf die CSS-Funktionen der Rendering-Engine des Browsers. Über eine manipulierte Website konnte ein potentieller Angreifer die Lücke ausnutzen um beliebigen Programmcode auszuführen. Die Schwachstelle tritt jedoch nur bei aktiviertem JavaScript auf.

Über die zweite Schwachstelle konnte ein Angreifer über die Kommandozeile Webseiten in Tabs öffnen, auch wenn Firefox nicht lief. Damit war es ihm unter Umständen möglich, Daten auszuspähen und - in Verbindung mit anderen Sicherheitslücken - eigenen Code auszuführen.

Die dritte Lücke (MFSA 2008-36) betrifft nur Systeme aus dem Hause Apple. Öffnet der User hier mit dem Firefox 3 zuvor manipulierte Bilddateien vom Typ Gif, kann der Browser abstürzen. Der Angreifer kann unter Umständen eigenen Code auszuführen.

Zu den behobenen Problemen im Browser gehört ein Fehler beim Ausdrucken von Seiten. Daneben wurde ein Fehler behoben, durch den die Phishing- und Malware-Datenbank beim ersten Start nicht aktualisiert wurde. Auch in der Ausnahmeliste von SSL-Zertifikaten gab es einen Fehler, der gefixt wurde. Weiterführende Informationen zu den behobenen Fehlern sind in den Release-Notes nachzulesen. Bereits wenige Tage zuvor veröffentlichte die Mozilla Foundation Updates für Firefox 2 und Seamonkey. Sie enthielten zum Teil die gleichen Fehler.

Die Updates für die Firefox-Versionen sowie für Seamonkey stehen auf den Webseiten von Mozilla zum Download bereit. Fertige Pakete der Distributoren werden in den nächsten Tagen folgen. Der Hersteller Red Hat hat bereits Aktualisierungen bereitgestellt.