News : Mozilla Firefox 1.0.2 behebt Sicherheitslücken

, 67 Kommentare

Die Mozilla Foundation hat Version 1.0.2 des Firefox-Browsers in sämtlichen Sprachen zum Download bereitgestellt. Hauptgrund dafür sind drei in dieser Version behobene Sicherheitslücken, von denen eine das Ausführen von beliebigem in manipulierte GIF-Grafiken integrierten Code ermöglicht.

Diese Sicherheitslücke wird als kritisch und mit hohem Risiko behaftet eingestuft. Im zugehörigen Security Advisory 2005-30 heißt es bisher lediglich:

An GIF processing error when parsing the obsolete Netscape extension 2 can lead to an exploitable heap overrun, allowing an attacker to run arbitrary code on the user's machine.

Der dort vorhandene Link zu einem Bugzilla-Eintrag ist bisher nicht öffentlich zugänglich, um ein Ausnutzen dieses Problems nicht allzu einfach zu gestalten. Wahrscheinlich handelt es sich bei der erwähnten Erweiterung um die Netscape-Erweiterung, welche die Anzahl der Durchläufe einer GIF-Animation festlegt und heutzutage praktisch keinerlei Bedeutung mehr hat.

Eine weitere im Security Advisory 2005-31 beschriebene Sicherheitslücke ermöglicht das Ausführen beliebiger Programme. Dazu muss der Anwender jedoch eine bösartige Seite als Sidebar eingerichtet haben. Das Security Advisory 2005-32 beschreibt eine potenzielle Sicherheitslücke, die für sich alleine derzeit als nicht ausnutzbar eingestuft ist, jedoch in Verbindung mit anderen sicherheitsrelevanten Problemen eine Gefahr darstellen könnte.

In einem inoffiziellen Changelog wird unter anderem noch erwähnt, dass in Firefox 1.0.1 beim Klicken auf einen Link, bei dessen Aktivierung der Browser zu einem im aktuellen Dokument definierten Ankerpunkt springt, die Sicherheitsindikatoren für verschlüsselte Verbindungen wie der gelbe Adresszeilenhintergrund und das Schlosssymbol in der Statuszeile ausgeblendet werden. Dieser Bug ist erst mit Firefox 1.0.1 eingeführt worden und war in Version 1.0 nicht vorhanden.

ZIP-Archive von Mozilla Firefox werden angeblich nicht mehr zum Download bereitgestellt, da es bei deren Verwendung Probleme mit dem Upgrade-Vorgang von Version 1.0 auf 1.0.1 gegeben hat, die zu einem Browser-Absturz führen konnten. Sollte man von diesem Problem betroffen sein gilt es zunächst zu überprüfen, ob das Löschen der Datei „autocomplete.xpt“ im Verzeichnis „C:\Programme\Mozilla Firefox\components“ den Absturz beseitigt. Wenn auch das nichts hilft, gibt es offenbar keine Alternative zum Löschen des gesamten Firefox-Verzeichnisses, wobei installierte Plugins, nicht jedoch die Benutzerprofile mit Lesezeichen und Einstellungen, verloren gehen.

Update

In dem nunmehr öffentlich zugänglichen Bugzilla-Eintrag 285595 sind Details zu der Sicherheitslücke beschrieben, durch die manipulierte GIF-Grafiken den Browser zum Absturz bringen oder beliebigen Code ausführen können. Es hat sich herausgestellt, dass der verwundbare Code gar nicht mehr gebraucht wird, woraufhin dieser entfernt wurde.

Downloads

  • Mozilla Firefox

    4,5 Sterne

    Quelloffener Browser der gemeinnützigen Mozilla Foundation, zahlreiche Erweiterungen verfügbar.

    • Version 50.0.2 Deutsch
    • Version 51.0 Beta 6 Deutsch
    • +2 weitere