Open Source im professionellen Einsatz

Firefox 2.0.0.8 behebt Schwachstellen

22.10.2007

Mehrere Lücken im Firefox ermöglichen Remote-Angriffe. Sie betreffen die Versionen 2.x. Abhilfe schafft das Update auf 2.0.0.8.

200

Kritisch dürfte sein, dass Nutzer des Gnome-Desktops mit VFS-Unterstützung über die URI-Schemata "smb://" und "sftp://" Lesezugriff auf ihre serverseitigen Daten gewähren können (CVE-2007-5337, MFSA 2007-34). Der Angreifer muss sie dazu auf eine manipulierte Webseite auf demselben Server locken. Außerdem können Webseiten, die in XUL geschrieben sind, ihre Titelleiste verbergen (MFSA 2007-33, CVE-2007-5334). Das kann Phishing- oder Spoofing-Attacken erleichtern. Eine Übersicht und Beschreibung der gefundenen Lücken gibt es bei Secunia.

Als kritisch stufen die Firefox-Entwickler selbst ein, dass beim Surfen auf Javascript-Seiten ein Angreifer mithilfe des Script-Objekts XPC Native Wrapper verändern und Javascript-Code einschleusen kann, der mit den Rechten des Benutzers ausgeführt wird (MFSA 2007-35, CVE-2007-5338). Weiter sahen sie in einigen Abstürzen der Firefox- und Javascript-Engine Hinweise auf Speicher-Korruption, die einem Angreifer unter bestimmten Umständen dazu dienen kann, Schadcode auszuführen.

Alle angesprochenen Schwächen und Lücken sind in Version 2.0.0.8 behoben. Die neue Version liegt auf der Mozilla-Seite zum Download bereit. Die letzte Stelle in der Firefox-Versionsnummer bezeichnet die Korrekturnummer. Das letzte Update auf 2.0.0.7 ist von Mitte September 2007 und schloss die Quicktime-Sicherheitslücke. Die erste 2.0-Version des Firefox kam im Oktober 2006 heraus.

comments powered by Disqus

Ausgabe 06/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook