Neue Firefox Version 2.0.0.6

heise.de berichtet:

Die Mozilla-Entwickler haben Version 2.0.0.6 des Webbrowsers Firefox freigegeben. Sie bringt eine weitere Korrektur für das Problem, das bei der Behandlung spezieller URLs auftritt, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können. Dadurch könnten bösartige Individuen mit manipulierten Links in Webseiten oder E-Mails auch schädliche Aktionen ausführen.

Firefox 2.0.0.6 enthält den von Daniel Veditz bereits am gestrigen Montag angekündigten Patch, der eine Sicherheitslücke bei der Verarbeitung von URLs mit eingebetteten Anführungszeichen schließt. Der Patch löst auch das Problem bei der Verarbeitung von URLs mit integrierten %00- oder %-Zeichen, durch die installierte Anwendungen aufgerufen werden können. Die Entwickler erläutern in der Sicherheitsmeldung, dass die Lösung noch nicht sauber ist, aber alle bisher bekannten Exploits nicht mehr funktionierten – bei Tests von heise Security passierte beim Folgen der bekannten präparierten Links in der Tat nichts mehr. Wie Veditz am gestrigen Montag gegenüber heise Security äußerte, gewinnen die Entwicker durch die Veröffentlichung der neuen Version Zeit, um eine bessere Lösung für das Problem zu erarbeiten.

Die aktuelle Version behebt ein weiteres Sicherheitsleck, das die Entwickler in der Vorgängerversion mit einem Patch für eine Frame-Spoofing-Sicherheitslücke aufgerissen haben. Dadurch können Angreifer die Rechte etwa für JavaScript-Code mit präparierten Webseiten erhöhen. In den Sicherheitsmeldungen kündigen die Mozilla-Entwickler auch Thunderbird 2.0.0.6, 1.5.0.13 und SeaMonkey 1.1.4 an, die die Schwachstellen ebenfalls beheben. Bislang sind die neuen Versionen allerdings noch nicht auf den Download-Servern aufgetaucht.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s