5. März 2009
Sicherheitslücken in Web-Browser Mozilla Firefox
Angesichts der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:
- URL spoofing with invisible control characters
- memory safety hazards in PNG library
- XML data theft via RDFXMLDataSource and cross-domain redirect
- Mozilla Firefox XUL Linked Clones Double Free Vulnerability
- MFSA 2009-07 Crashes with evidence of memory corruption
Auswirkungen
Die Auswirkungen dieser Bugs sind teilweise noch nicht bekannt, speziell
aber die Speicherprobleme könnten prinzipiell auch zum Ausführen von
von beliebigem Code benutzt werden. Mit URL-Spoofing kann dem Anwender
vorgetäuscht werden, sich auf einer vermeintlich bekannten und sicheren
Seite zu befinden.
Betroffene Systeme
Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:
- Firefox vor Version 3.0.7
Auch von Firefox abgeleitete Email-Programme wie Mozilla Thunderbird
sind von manchen der behobenen Bugs betroffen, sollten jedoch in der
Standard-Einstellung sicher sein.
Abhilfe
Update auf die aktuelle Version 3.0.7.
Hinweis
Generell empfiehlt CERT.at, wo möglichh die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
installiert zu haben und den Virenschutz aktuell zu halten.
Informationsquelle(n):Advisory der Mozilla Foundationhttp://www.mozilla.com/en-US/firefox/3.0.7/releasenotesMeldung des SANS Internet Storm Centershttp://isc.sans.org/diary.html?storyid=5965