Firefox 1.0.4 und Mozilla 1.7.8 beseitigen mehrere kritische Lücken

Dieses Thema im Forum "Netzwelt" wurde erstellt von zwa3hnn, 12. Mai 2005 .

  1. 12. Mai 2005
    Die Mozilla-Foundation hat Firefox 1.0.4 und Mozilla 1.7.8 herausgegeben, in denen insgesamt vier kritische Sicherheitslücken beseitigt sind. Alle Lücken ermöglichen das Einschleusen und Ausführen von Schadcode, je nach Fehler ist dazu meist nur noch ein Klick des Anwenders innerhalb des Browser-Fensters notwendig. Firefox 1.0.4 liegt bereits auf Deutsch vor, während Mozilla 1.7.8 bislang auf Englisch erhältlich ist.

    Unter anderem haben die Entwickler die zwei am vergangenen Wochenende veröffentlichten Fehler beseitigt, für die auch bereits ein Exploit kursierte. Ursprünglich war eine koordinierte Veröffentlichung der neuen Firefox- und Mozilla-Version zusammen mit der Fehlerbeschreibung und dem Exploit geplant. Allerdings wurde der Exploit-Code des Autors -- Paul von GreyHat -- von dessen Server gestohlen und auf diversen Seiten zum Download bereitgestellt. Um zumindest den Exploit unbrauchbar zu machen, modifizierte die Mozilla Foundation den Addon/Update-Server, der für einen erfolgreichen Angriff benutzt wurde.

    Zudem sind nun zwei Schwachstellen behoben, die eigentlich schon durch die Versionen 1.0.3 von Firefox und 1.7.7 von Mozilla hätten erledigt sein sollen. Allerdings zeigte sich bei Tests von Michael Krax und Georgi Guninski, dass sich durch eine Variation des Exploit-Codes die Favicon-Lücke weiter ausnutzen lässt. So funktionierte eine neue Version der Firelinking-Demo von Krax durch den Einsatz von JavaScript-URLs wieder. Offenbar hatten die Entwickler nur um den Exploit herum gepatcht, ohne das eigentliche Loch zu stopfen. Auch die DOM-Sicherheitslücke soll nun in den Browsern der Foundation durch weitere Sicherheitschecks vollständig geschlossen sein.

    Dass sich die zwei älteren Lücken noch ausnutzen ließen, war immerhin einem eingeweihten Kreis seit Wochen bekannt, die ihre Entdeckung allerdings nicht veröffentlichten, sondern an die Entwickler meldeten. Glücklicherweise kam es in diesen Fällen nicht zu einem Informationsleck wie bei dem Exploit von Greyhat.

    Eine Demonstration auf dem c't-Browsercheck illustriert die Dringlichkeit des Updates. Durch einen Klick auf einen Link mit Firefox 1.0.3 installiert und startet sie ein Programm auf Windows-, MacOS-X- oder Linux-Systemen. Bei einem Test von Firefox 1.0.4 unter Windows XP mit Service Pack 2 funktionierte die Demo nicht mehr.

    Ob und inwiefern auch Netscape von den zwei neuen Lücken betroffen ist, müssen weitere Tests zeigen. Zumindest die ältere DOM-Lücke und ein Fehler bei der Verarbeitung bestimmer GIF-Bilder finden sich auch dort.


    quelle: heise news
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.