Mozilla Firefox 1.0.4 und Mozilla Suite 1.7.8

Im Gegensatz zum Prozedere bei der Veröffentlichung von Firefox 1.0.3 konnte die Mozilla Foundation Version 1.0.4 schon wenige Tage nach Bekanntwerden kritischer Sicherheitslücken zum Download bereitstellen. Diese ermöglichen nahezu ohne Benutzerinteraktion das Ausführen von beliebigem Code, ein Update ist somit dringend anzuraten.

Alle drei bzw. vier in Version 1.0.4 geschlossenen Sicherheitslücken werden als kritisch eingestuft. Darunter befinden sich die am Wochenende bekannt gewordenen Lücken, über die man mit Javascript-Code in Icon-URLs von Browser-Erweiterungen beliebigen Code ohne Einschränkungen ausführen konnte (Security Advisory 2005-42). Über eine weitere Lücke, die ebenfalls in diesem Security Advisory beschrieben wird, ließ sich zudem die Sicherheitsabfrage beim Installieren von Erweiterungen umgehen, wodurch diese beiden Lücken in Kombination ein gefährliches Potenzial bergen, insbesondere da für sie seit Veröffentlichung ein Exploit im Umlauf ist.

Die beiden Security Advisories 2005-43 und 2005-44 beschreiben beide Variationen von eigentlich bereits in Version 1.0.3 geschlossenen Sicherheitslücken, über die sich wieder beliebiger Code unter Missachtung jeglicher sicherheitsrelevanter Beschränkungen ausführen lässt. Offenbar wurde beim Schließen dieser Lücken zunächst nicht wirklich der Kern des Problems getroffen.

Zu den beiden zuletzt genannten Security Advisories sollen weitergehende Informationen erst am 18. Mai der Öffentlichkeit zugänglich gemacht werden, um die Gefahr, dass diese Bugs, noch während ein Großteil der Anwender Version 1.0.3 einsetzt, ausgenutzt werden, so gering wie möglich zu halten. Mozilla Firefox steht bereits in deutscher Sprache zum Download bereit, die Mozilla Suite 1.7.8 hingegen bisher lediglich in Englisch.