04. Februar 2009
Kritische Sicherheitslücken im Web-Browser Firefox
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten
Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im
Web-Browser Firefox, unter anderem:
- Local File Stealing
- Arbitrary Code Execution
- Cookie Stealing
- Privilege Escalation via .desktop Files
Auswirkungen
Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen,
sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen
ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
anderen Systeme gefährdet.
Betroffene Systeme
Laut dem Advisory der Mozilla Foundation sind folgende Produkte und
Versionen betroffen:
- Firefox vor Version 3.0.6
Vermutlich treffen diese Sicherheitslücken auch von Mozilla/Firefox
abgeleitete Produkte wie Thunderbird und SeaMonkey - für diese stehen
allerdings noch keine Updates zur Verfügung.
Abhilfe
- Firefox: Update auf die aktuelle Version 3.0.6
- Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte
Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails
aktiviert ist (diese Einstellung ist Default)
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features
von Software zu nutzen, parallel Firewall-Software installiert zu haben und
den Virenschutz aktuell zu halten.
Informationsquelle(n):Meldungen der Mozilla Foundationhttp://www.mozilla.org/security/known-vulnerabilities/firefox30.htmlMeldung auf Heise Securityhttp://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855