Sicherheitslücken im Web-Browser Mozilla Firefox

5. März 2009

Sicherheitslücken in Web-Browser Mozilla Firefox

Angesichts der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:
  • URL spoofing with invisible control characters
  • memory safety hazards in PNG library
  • XML data theft via RDFXMLDataSource and cross-domain redirect
  • Mozilla Firefox XUL Linked Clones Double Free Vulnerability
  • MFSA 2009-07 Crashes with evidence of memory corruption

Auswirkungen

Die Auswirkungen dieser Bugs sind teilweise noch nicht bekannt, speziell aber die Speicherprobleme könnten prinzipiell auch zum Ausführen von von beliebigem Code benutzt werden. Mit URL-Spoofing kann dem Anwender vorgetäuscht werden, sich auf einer vermeintlich bekannten und sicheren Seite zu befinden.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:
  • Firefox vor Version 3.0.7
Auch von Firefox abgeleitete Email-Programme wie Mozilla Thunderbird sind von manchen der behobenen Bugs betroffen, sollten jedoch in der Standard-Einstellung sicher sein.

Abhilfe

Update auf die aktuelle Version 3.0.7.

Hinweis

Generell empfiehlt CERT.at, wo möglichh die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Advisory der Mozilla Foundation
http://www.mozilla.com/en-US/firefox/3.0.7/releasenotes
Meldung des SANS Internet Storm Centers
http://isc.sans.org/diary.html?storyid=5965