Die Mozilla-Foundation hat die Firefox-Version 2.0.0.10 freigegeben, die drei als schwerwiegend eingestufte Sicherheitslücken behebt. Doch schon sind neue Probleme aufgetaucht.
Eine der schwerwiegendsten Lücken war ein Problem im Umgang mit .jar-Dateien. Das Jar-Protokoll war falsch implementiert worden, wodurch Filter und andere Schutzvorrichtungen von Webseiten durch Cross-Site-Scripting-Angriffe missbraucht werden konnten, um Login-Informationen und gegebenenfalls andere Daten abzufangen. Ein weiteres Szenario beschreibt Angriffe mit speziell präparierten Archiven. Durch Redirects war diese Sicherheitslücke ebenfalls nutzbar. Der zweite behobene Fehler ließ sich durch Setzen der Eigenschaft “window.location” nutzen, um HTTP-Header umzuleiten und dadurch eine Cross-Site-Scripting-Attacke auszuführen.
Die dritte Sicherheitslücke hatte ihren Ursprung in Fehlern in der Speicherverwaltung. Sie konnte missbraucht werden, um den Browser zum Absturz zu bringen oder auch um Schadcode auf betroffenen Systemen auszuführen. Die aufgeführten Sicherheitslücken treffen auch auf Mozilla Seamonkey zu. Dessen neue Version 1.1.7 soll in den nächsten Tagen fertiggestellt werden.
Doch kaum ist Version 2.0.0.10 für den Firefox verfügbar, tauchen schon die nächsten Fehler auf. So hat der amerikanische Entwickler Kevin Han bereits einen Bug gemeldet:. Jetzt kann der Browser per Javascript eingebettete Grafiken nicht mehr anzeigen. Die neue Version reagiert auf die Funktion “canvas.drawImage()” mit der Fehlermeldung “NS_ERROR_NOT_AVAILABLE”. Eigentlich sollten so Vektorgrafiken angezeigt werden. Stattdessen zeichnet die Methode jetzt Pixelbilder in diese.
Trotz des neu aufgetauchten Fehlers empfehlen die Firefox-Entwickler ein schnelles Update auf die neue Browserversion. Sie ist in mehreren Sprachen über die Server der Mozilla-Foundation verfügbar. Pakete der Distributoren folgen in den nächsten Tagen.
