Zahlreiche Löcher in Firefox 3.0 und 3.5 gestopft

Die Mozilla Foundation hat die Firefox-Versionen 3.0.14 und 3.5.3 vorgelegt, die mehrere kritische Sicherheitslücken der Vorgängerversionen beseitigen. Ein Fehler im FeedWriter ermöglicht es einem Angreifer, seinen JavaScript-Code im Browser des Opfers mit Chrome-Rechten auszuführen – also mit den höchsten Rechten. Zudem lässt sich ein Fehler in der Verwaltung der Spalten von XUL-Baumelementen zur Manipulation von Zeigern ausnutzen, mit denen sich eingeschmuggelter Code starten lässt. Dazu genügt der Besuch einer präparierten Webseite durch das Opfer.

Darüber hinaus beseitigen die neuen Versionen insgesamt sieben möglicherweise ausnutzbare Speicherfehler, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen. Des Weiteren haben die Entwickler eine potenzielle Spoofing-Schwachstelle bei der Darstellung von URLs mit bestimmten Unicodes beseitigt. Version 3.0.14 korrigiert noch einen Fehler bei der Installation respektive Deinstallation von PKCS#11-Modulen zum Zugriff auf kryptografische Token. Offenbar waren die Dialoge nicht eindeutig genug, sodass ein Angreifer ein Opfer dazu bringen konnte, ein manipuliertes Modul zu installieren.

Beide Firefox-Versionen warnen beim Start nun auch bei veralteten Versionsständen des Flash-Plugins. Ein Großteil der Anwender surft mit verwundbaren Versionen von Adobe Flash im Netz und bietet so ein hervorragendes Ziel für Kriminelle, fand zuletzt der Sicherheitsdienstleister Trusteer heraus. Möglicherweise ändert sich die Lage damit. Auf jeden Fall empfiehlt die Mozilla Foundation Anwendern des Firefox 3.0.x, schon jetzt auf 3.5.x zu wechseln. Ohnehin endet der Support für den Vorgänger im Januar 2010.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.