Neue Version von Firefox beseitigt 3 Sicherheitslücken
Nachdem vor wenigen Tagen bereits neue Versionen der Mozilla-Suite und dem Email-Client Thunderbird erschienen sind, gibt es nun auch für den Firefox-Browser ein Update, das drei Sicherheitslücken schließt. Das belebt die Diskussion um den sichersten Browser.
Gestern wurde noch heftig diskutiert, welcher Browser der bessere sei. Mitchell Baker, Präsidentin der Mozilla Foundation, meinte, dass Firefox von Grund auf sicherer ist, weil er nicht in das Betriebssystem eingebunden ist und auf ActiveX Controls verzichtet. Symantecs CEO John Thompson entgegnete, dass immer mehr Schwachstellen in Firefox gefunden werden. Und je beliebter der alternative Browser wird (aktuell wurde er ca. 28 Mio. mal heruntergeladen und der Anteil liegt bei etwa 5%), desto mehr Hacker werden versuchen Sicherheitslücken auszunutzen. Und Sicherheitslücken seien aufgrund der freien Entwicklergemeinde unvermeidlich. Baker wies diese Vorwürfe natürlich zurück.
Ein anderer Aspekt wurde von der belgischen Sicherheitsfirma ScanIT in die Diskussion geworfen. Sicherheitslücken kommen vor egal ob die Entwickler in einem Unternehmen arbeiten oder in einem freien Verbund. Wichtig ist allerdings, wie schnell diese Sicherheitslücken offen bleiben. Dabei hat sich Microsoft mit dem Internet Explorer im letzten Jahr nicht besonders hervor getan. Selbst wenn man alle Patches frühestmöglich eingespielt hat, waren IE Nutzer im letzten Jahr zu 98% Angriffen aus dem Web ausgesetzt. An 200 Tagen mussten IE Nutzer mit einem Exploit für eine ungepatchte Sicherheitslücke rechnen. Bei Mozilla waren es nur 56 Tage. Da Mozillas Firefox im letzten Jahr allerdings lange Zeit noch im Betastadium vorlag, sind die Zahlen möglicherweise nicht repräsentativ.
Wie zum Beweis, dass Sicherheits-Updates von Mozilla sehr Ernst genommen werden, ist heute ein Sicherheits-Update erschienen. In Version 1.0.2 von Firefox werden 3 Sicherheitslücken geschlossen, die teilweise in Mozilla und Thunderbird vor wenigen Tagen schon behoben wurden.
1. Durch Ziehen eines gefälschten Scrollbars mit der Maus, kann eine XUL Datei mit höheren Rechten geöffnet werden. XUL Dateien bestimmen das Aussehen des Browsers.
2. Eine Webseite, die als Sidebar geöffnet wird (dort werden z.B. besuchte Seiten angezeigt oder die Inhalte von Sage), kann JavaScript Code mit höheren Rechten ausführen und so beliebigen Code ausführen.
3. Die Anzeige von animierten GIF Dateien, die von Netscape übernommen wurde, kann durch manipulierte Bilder zu einem Pufferüberlauf im Heap führen, den man mit viel Geschick dazu nutzen kann beliebigen Code auszuführen.
Eine andere Schwachstelle, die gestern diskutiert wurde, wird durch dieses Sicherheits-Update aber nicht geschlossen. Die Firefox-Extension Greasemonkey, die eigentlich dazu dienen soll bestimmte Webinhalte auszufiltern, kann von Hackern auch dazu verwendet werden, Daten auszuspionieren. Wer Greasemonkey verwendet sollte sehr umsichtig in der Wahl der installierten Skripte sein.
Die o.g. Sicherheitslücken wurden von Secunia als kritisch eingestuft. Bitte laden und installieren Sie die neue Version von der Firefox Produktseite.
Weitere Informationen:
Mozilla Firefox Produktseite (engl.)
Browser Check von ScanIT (engl.)
Mozilla Foundation Security Advisory 2005-30 (engl.)
Mozilla Foundation Security Advisory 2005-31 (engl.)
Mozilla Foundation Security Advisory 2005-32 (engl.)
© 2007 - 2012 G Data Software AG. Todos os direitos reservados.
