Sicherheits-Fixes für Mozilla Firefox

Die Mozilla Foundation schließt mit Mozilla Firefox 0.10.1 zwei Sicherheitslücken in ihrem Vorzeige-Browser. Während eine der beiden Sicherheitslücken das Auslesen des Inhalts der Zwischenablage ermöglicht, erlaubt es die zweite einem Angreifer, den Inhalt des Download-Verzeichnisses zu löschen.

Beide Sicherheitslücken erfordern Benutzer-Interaktion, um ausgenutzt zu werden. Im Gegensatz zu den ansonsten üblichen Sicherheitsproblemen ermöglicht es keine der beiden Lücken dem Angreifer, an sensible Informationen zu gelangen, sofern man davon ausgeht, dass sich in der Zwischenablage keinerlei solche Informationen finden lassen.

Zu der Sicherheitslücke, welche das Löschen des Inhalts des Download-Verzeichnisses ermöglicht, gibt es eine Pressemeldung auf der Mozilla-Website. Dort findet sich auch ein Patch, welcher zumindest diese Sicherheitslücke schließt. Derzeit scheint noch Unsicherheit darüber zu herrschen, ob der Patch und Mozilla Firefox 0.10.1 auch das Problem mit der Zwischenablage beheben. Zumindest beim Patch wird dies bezweifelt.

In der genannten Pressemitteilung wird auch die häufig anzutreffende Behauptung, Mozilla-Produkte wiesen durch den steigenden Bekanntheitsgrad ähnlich viele und kritische Sicherheitslücken wie die Browser der Konkurrenz auf, widerlegt. Zudem heißt es dort, dass dieses Sicherheits-Update ein weiteres Beispiel dafür sei, wie die Mozilla Foundation Sicherheits-Lücken vor deren Ausnutzung durch böswillige Cracker identifiziert und behebt.

Update 21.10.2004: Ein Leser hat uns darauf hingewiesen, dass das Problem mit der Zwischenablage (Bug #257523) nicht in Mozilla Firefox 0.10.1 behoben ist. Betroffen ist zudem offenbar lediglich die unter Linux zum Einsatz kommende GTK-Oberfläche des Browsers!