Deutsch | English

Kritische Sicherheitslücken im Web-Browser Firefox

04. Februar 2009

Kritische Sicherheitslücken im Web-Browser Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:
  • Local File Stealing
  • Arbitrary Code Execution
  • Cookie Stealing
  • Privilege Escalation via .desktop Files

Auswirkungen

Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen, sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:
  • Firefox vor Version 3.0.6
Vermutlich treffen diese Sicherheitslücken auch von Mozilla/Firefox abgeleitete Produkte wie Thunderbird und SeaMonkey - für diese stehen allerdings noch keine Updates zur Verfügung.

Abhilfe

  • Firefox: Update auf die aktuelle Version 3.0.6
  • Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails aktiviert ist (diese Einstellung ist Default)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldungen der Mozilla Foundation
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
Meldung auf Heise Security
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017 | Update ...
mehr ...
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017 | Am Donnerstag ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss