Firefox 1.0.3 schließt neun Sicherheitslücken

Die Mozilla Foundation hat nach mehrmaliger Verzögerung Version 1.0.3 des Firefox-Browsers veröffentlicht, welche insgesamt neun Sicherheitslücken schließt, die unter anderem das Ausführen von beliebigem Javascript-Code mit vollen Privilegien sowie das Auslesen von sensiblen Daten ermöglichen.

Auf der Known Vulnerabilities-Seite findet sich eine Übersicht zu den Sicherheitslücken mit Links zu detaillierten weitergehenden Informationen. Der Schweregrad dieser Sicherheitslücken wurde dreimal als „kritisch“ sowie zweimal als „hoch“ eingestuft, die restlichen vier Einträge sind als „moderat“ gekennzeichnet.

An drei Stellen ist Firefox für URLs mit Javascript-Code anfällig, der dann ungeachtet der normalerweise geltenden sicherheitsrelevanten Einschränkungen ausgeführt wird. Dies kann beim manuellen Installieren von Plugins (Security Advisory 2005-34), beim nachträglichen Öffnen von Popups nachdem diese von Firefox geblockt wurden (Security Advisory 2005-35) sowie beim Setzen eines Favicon-Link-Tags im Kopfbereich einer HTML-Seite (Security Advisory 2005-37) ausgenutzt werden. Letzteres Advisory beschreibt eine der als kritisch eingestuften Sicherheitslücken ist.

Die übrigen beiden als kritisch eingestuften Sicherheitslücken ermöglichen das Ausführen von beliebigem Code (Security Advisory 2005-39 und Security Advisory 2005-41). Das Security Advisory 2005-33 beschreibt die Möglichkeit per Javascript Teile des Hauptspeichers auszulesen, was vor einigen Tagen für Wirbel gesorgt hat, jedoch offenbar aufgrund einer praktisch quasi unmöglichen gezielten Ausnutzung lediglich als mit dem Schweregrad „moderat“ eingestuft wurde.

Zwei weitere Sicherheitslücken ermöglichen das Ausführen von beliebigem Javascript-Code im Kontext der angezeigten Website. Zum einen überlebt Javascript-Code unter bestimmten Umständen das Verlassen einer Website (Security Advisory 2005-36) und zum anderen kann man das Ausführen von beliebigem Javascript-Code bei jeder Suchanfrage (Security Advisory 2005-38) erreichen, indem man dem Anwender manipulierte Such-Plugins unterschiebt.

Das Security Advisory 2005-40 letztendlich beschreibt eine Sicherheitslücke, von der noch nicht eindeutig bekannt ist ob sie ausgenutzt werden kann, nach Auffassung der Mozilla-Entwickler ist dies jedoch theoretisch möglich.

Abgesehen von den geschlossenen Sicherheitslücken wurden angeblich auch Verbesserungen am Update-Prozess vorgenommen, womit unter anderem gemeint sein dürfte, dass Firefox unter Windows nicht mehr für jede installierte Version einen separaten Eintrag in der Software-Auflistung der Systemsteuerung erstellt.

Die lange Verzögerung bis zum Schließen der Sicherheitslücken hat ihre Ursache darin, dass es immer wieder Probleme mit diversen Browser-Erweiterungen gab, die aufgrund der vorgenommenen sicherheitsrelevanten Änderungen nicht mehr funktionierten. Davon zeugen unter anderem die sieben Release-Kandidaten für Firefox 1.0.3.

Von sieben der genannten neun Sicherheitslücken ist übrigens auch die Mozilla Suite betroffen. Angesichts der Tatsache, dass sich manche dieser Sicherheitslücken systematisch ausnutzen lassen, ist jedem Anwender ein Update auf Firefox 1.0.3 bzw. der Mozilla Suite 1.7.6 dringend anzuraten.