Sicherheitsupdate für Firefox

BrowserSicherheitSicherheitsmanagementWorkspace

Die Mozilla-Entwickler haben sowohl für Firefox 3.5 als auch den älteren Entwicklungszweig 3.0 ein Update bereitgestellt, mit dem man mehrere Lücken schließt.

Drei der Sicherheitslecks sind in beiden Browser-Versionen zu finden, zwei davon hätten aber zumindest in Firefox 3.5 schon geschlossen sein sollen. Da das offenbar nicht geklappt hat, besser man nun mit Firefox 3.5.2 nach. Eines der beiden Lecks erlaubte es, dem Browser durch fehlerhafte Domainnamen in SSL-Zentifikaten falsche Zertifikate unterzuschieben und so die SSL-Kommunikation zu kompromittieren. Durch das andere Leck konnte die Verarbeitung von Zertifikaten durch bestimmte reguläre Ausdrücke, die nicht dem Standard entsprechen, aber früher von Netscape unterstützt worden, ausgehebelt werden. Ein Angreifer kann das ausnutzen, um eigenen Code zur Ausführung zu bringen.

Beide Lecks wurden auch in Firefox 3.0.13 gestopft. Dazu kommt ein drittes Leck, das beide Browser betrifft, aber als nicht ganz so schwerwiegend wie die beiden anderen eingestuft wird. Dieses erlaubt es einem Angreifer, eigene Inhalte unter einer falschen URL anzuzeigen.

Drei weitere Sicherheitslecks hat der 3.5er Entwicklungszweig exklusiv, auch sie werden mit Firefox 3.5.2 abgedichtet. Dazu zählen unter anderem Speicherfehler und ein Problem im Zusammenspiel mit einigen Erweiterungen, durch die Javascript mit Chrome-Privilegien, also höchsten Rechten, ausgeführt werden kann. (Daniel Dubsky)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen