Thema: Firefox ...

[SiLæncer]

Das Mozilla-Team warnt zwei Tage nach Veröffentlichung der neuen Versionen vor weiteren, kritischen Lücken der älteren Browser. Neben den bereits bekannten Problemen mit IDN-Domainnamen und Kommandozeilenparametern unter Linux beseitigen Firefox 1.0.7 und Mozilla 1.7.12 acht weitere Schwachstellen. Besonders kritisch dabei: ein Heap-Overflow beim Auswerten von Bildern im X-Bitmap-Format (XBM) und Probleme beim Umgang mit speziellen Unicode-Füllzeichen -- den so genannten Zero-width non-joiners. Beide erlauben es möglicherweise, fremden Code auf das System eines Anwenders einzuschleusen und auszuführen.

Das gilt zwar auch für einen von Guninski entdeckten JavaScript Integer Overflow, dieser ist allerdings nur als "schwerwiegend" eingestuft. In derselben Kategorie firmieren zwei Lücken, über die eine unprivilegierte about-Seite Chrome-Seiten mit höheren Rechten laden kann. Sollte eine weitere Lücke die Steuerung dieser Chrome-Seiten erlauben, ließen sich darüber beispielsweise Programme nachladen und ausführen (siehe auch Chrome-plated holes).

Die vollständige Liste der sicherheitsrelevanten Bugfixes mit den relativ nichtssagenden Beschreibungen findet sich im Mozilla-Advisory. Die referenzierten Einträge in der Fehlerdatenbank, die genaueren Aufschluss über die Hintergründe gäben, sind allerdings noch gesperrt. Ein Thunderbird-Update für das in Firefox beseitigte Problem mit Kommandzeilenparametern unter Linux steht noch aus.

Siehe dazu auch:

    * Security Advisory des Mozilla-Teams


Quelle und Links : http://www.heise.de/newsticker/meldung/64209

[SiLæncer]

Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs. Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen.

Betroffen von dem Problem sind alle Browser der Mozilla-Familie einschließlich Netscape und Firefox. Auch das gerade erst freigegebene Update auf Firefox 1.5.0.1 behebt das Problem noch nicht. Ursprünglich sollte "-moz-binding" Stylesheet-Entwicklern stärkeren Einfluss auf das Erscheinungsbild des Browsers ermöglichen. Doch ähnlich der DHTML-Lücke des Internet Explorers und der Chrome-Problematik von Mozilla bergen derartige Funktionen auch ein häufig unterschätztes Potenzial für Missbrauch.

Siehe dazu auch:

    * Eintrag in der Fehlerdatenbank von Mozilla


Quelle und Links : http://www.heise.de/security/news/meldung/69159

[SiLæncer]

Anwender von Firefox 1.5 und des Mozilla-Nachfolgers Seamonkey vor Version 1.0 sollten so bald wie möglich auf die vergangene Woche veröffentlichten Versionen wechseln. Darin sind insgesamt acht Schwachstellen beseitigt, für die nun auch der erste Exploit kursiert, der auf einem verwundbaren System eine über das Netzwerk erreichbare Shell öffnen soll. Der Exploit nutzt eine Lücke in der QueryInterface-Funktion aus, über die sich Code einschleusen lässt. Dazu reicht bereits der Aufruf einer präparierten Webseite aus. Der Exploit ist nach Angaben des Autors, H.D. Moore von Metasploit, für die Zielplattform Linux erstellt worden. Mit dem Metasploit-Framework lässt sich aber auch leicht Windows als Zielplattform konfigurieren.

Aufgrund der Veröffentlichung des Exploits hat die Mozilla Foundation das Risiko der Lücke gestern auch auf kritisch hochgestuft. Mozilla 1.7 und Firefox 1.0.x sind laut Security Advisory nicht von dem Problem betroffen. Allerdings ist die Lücke wohl auch in Thunderbird 1.5 zu finden, sofern JavaScript aktiviert ist. In der Standardkonfiguration ist dies aber nicht der Fall.

Für die zweite kritische Lücke in Firefox und Seamonkey gibt es zum Glück noch keinen Exploit. Zwar ist das Loch in Firefox 1.5.0.1 und Seamonkey 1.0 geschlossen, aber Firefox 1.0.8 lässt noch auf sich warten. Aus diesem Grund halten die Entwickler auch die Details zu der Lücke zurück – derzeit liegt auf dem dazugehörigen Bugzilla-Datenbankeintrag noch ein Embargo. Nur so viel verrät das Advisory: Die Funktion XULDocument.persist wertet einige Attributnamen nicht korrekt aus, sodass ein Angreifer mit präparierten Namen JavaScript-Code in die Datei localstore.rdf schreiben kann, in der etwa die Konfiguration der Browseroberfläche (Chrome) gespeichert ist. Diese wird bei jedem Browserstart gelesen und ausgeführt. Thunderbird ist grundsätzlich auch betroffen, allerdings nur, wenn JavaScript angeschaltet ist. Eine fehlerbereinigte Thunderbird-Version gibt es noch nicht.

Auch das Problem beim Aufruf von Seiten mit überlangen Namen soll nun nicht mehr auftreten: Beim Neustart blieb der Browser in jedem Fall komplett hängen, bis die Datei history.dat gelöscht wurde. Die restlichen fünf Lücken, zu denen die Mozilla Foundation ebenfalls Fehlerreports veröffentlicht hat, sind weniger kritisch, einige erlauben aber prinzipiell auch das Einschleusen und Ausführen von Schadcode. Der Großteil der Fehler wurde aber erst mit der Entwicklung von Firefox 1.5 und Seamonkey eingeführt.

Siehe dazu auch:

    * Sicherheitslücken in Firefox, Mozilla, Seamonkey und Thunderbird Übersicht der Mozilla Foundation
    * Metasploit:Exploits für alle Hintergrund-Artikel auf heise Security


Quelle und Links : http://www.heise.de/security/news/meldung/69331

[SiLæncer]

Laut einer Sicherheitsmeldung von Securident patzt der Open-Source-Browser Firefox bei der JavaScript-Anweisung iframe.contentWindow.focus(). Wenn Firefox auf bestimmte Konstrukte mit dieser Anweisung trifft, kann es zum Browserabsturz kommen. Die Entdecker der Schwachstelle gehen davon aus, dass es sich hierbei um einen Pufferüberlauf handelt, den Angreifer zum Ausführen von beliebigen Code nutzen könnten.

Betroffen ist Firefox in Version 1.5.0.2, zur Zeit ist noch kein fehlerbereinigter Firefox-Build verfügbar. Abhilfe schafft das Abschalten der Unterstützung für JavaScript unter den Inhalt-Einstellungen im Extras-Menü, bis die Firefox-Entwickler einen Patch bereitstellen. Jedoch zeigt der Browser dann diverse Webseiten nicht mehr korrekt an.

Siehe dazu auch:

    * Firefox Remote Code Execution and Denial of Service, Sicherheitsmeldung von Securident

Quelle und Links : http://www.heise.de/security/news/meldung/72363

[SiLæncer]

Nachdem im kürzlich veröffentlichten Firefox 1.5.0.2 eine Sicherheitslücke entdeckt worden war, haben die Entwickler prompt reagiert und Firefox 1.5.0.3 zum Download bereitgestellt. Der Mail-Client Thunderbird wird in Kürze in der Version 1.5.0.4 erscheinen.

Firefox ist in der Version 1.5.0.3 erschienen. Mit der neuen Version wird eine kürzlich entdeckte Sicherheitslücke gestopft, die wegen eines Javascript-Fehlers den Browser zum Absturz bringt.

Sicherheitsexperten hatten vor der Lücke gewarnt, weil die Lücke es Angreifern ermöglicht, beliebigen Code auf einem Rechner ablaufen zu lassen. Die Lücke ist bei Bugzilla unter der Nummer 334515 registriert. Ein Proof-of-Concept für diese Lücke existierte bereits bei Bekanntwerden der Lücke, so dass sich die Entwickler entschlossen, schnellstmöglich einen aktualisierten Firefox zu veröffentlichen. Nebeneffekt: Die Entwickler stellen erneut unter Beweis, dass sie schnell auf Sicherheitsprobleme reagieren können.

Firefox 1.5.0.3 ist für Windows, MacOS X (Intel & PowerPC) und Linux in deutscher Sprache verfügbar. Da mit dem Update die Sicherheit des Browsers erhöht wird, ist die sofortige Installation empfehlenswert. Sie können Firefox 1.5.0.3 entweder manuell installieren oder die Update-Funktion von Firefox 1.5.0.2 nutzen. Bei letzterer Variante sparen Sie Downloadzeit und nach einem Neustart ist der Browser auf dem aktuellen Stand.

Der ganze Artikel

Quelle : www.pcwelt.de

[SiLæncer]

Eine Schwachstelle in Firefox kann ausgenutzt werden.

Bereits kurz nach der Bereitstellung der neuen Firefox-Version 1.5.0.3, die eine Sicherheitslücke schließt, wurde eine neue Anfäligkeit gemeldet. Diese soll auch die neue Firefox-Version betreffen, konnte jedoch zunächst nicht nachvollzogen werden. Nun hat das Internet Storm Center ( ISC ) bestätigt, dass eine solche Schwachstelle existiert.

Der in der Vorwoche als Nachweis vorgeschlagene Exploit schien nicht oder nur unter bestimmten Umständen zu funktionieren. Inzwischen hat das ISC einen anderen Exploit erhalten, der nachvollziehbar klappt. Dabei werden mittels Javascript in einer Web-Seite viele "mailto:"-Links erzeugt. Diese stecken in IMG-Tags, also in HTML-Anweisungen, die eigentlich Bilder laden sollten.

Beim Aufruf einer solchen Seite werden die vermeintlichen Bilder geladen, was zum Öffnen zahlloser Mail-Fenster führen kann. Dadurch kann der Rechner soweit ausgelastet werden, dass er nicht mehr auf Benutzeraktionen reagiert oder gar abstürzt. Das kann im Einzelfall auch davon abhängen, welches Mail-Programm in Firefox als für mailto-Links zuständig eingetragen ist.

Als Workaround, also als Abhilfe gegen die Ausnutzung dieser Schwachstelle, kommen verschiedene Maßnahmen in Betracht. Sie können etwa Javascript komplett abschalten. Das hilft gegen viele Sicherheitslücken, führt jedoch zu Einschränkungen bei der Nutzung diverser Websites. Eine Alternative bietet die Firefox-Erweiterung " Noscript ", die Javascript nur auf bestimmten Seiten zulässt, die Sie selbst festlegen.

Sie können auch eine Warnung beim Aufruf von mailto-Links aktivieren. Dazu müssen Sie in der Adresszeile von Firefox "about:config" eintragen und aufrufen. Sie erhalten nun Zugriff auf eine Vielzhl von Konfigurationsoptionen, die nicht über "Extras, Einstellungen" erreichbar sind. Benutzen Sie das Eingabefeld "Filter" am oberen Rand und geben Sie dort "warn-external.mailto" ein. Als einzige Option bleibt dann "network.protocol-handler.warn-external.mailto" stehen, der Wert steht standardmäßig auf "false". Durch Anklicken mit der rechten Maustaste und Auswählen von "Umschalten" setzen Sie ihn auf "true".

Nun werden Sie beim Anklicken eines Mail-Links auf einer Web-Seite jedesmal gefragt, ob Sie den Aufruf des Mail-Programms erlauben wollen. Das führt bei dem oben genannten Exploit zwar dazu, dass Sie ziemlich viele solcher Bestätigungsdialoge erhalten. Es werden jedoch keine Mail-Fenster geöffnet und der Rechner bleibt benutzbar.

Noch radikaler ist die Maßnahme, mailto-Links gänzlich abzuschalten. Dazu geben Sie im Filterfeld bei about:config "external.mailto" ein. Sie erhalten die Option "network.protocol-handler.external.mailto", die Sie wie oben von "false" auf "true" umschalten. Ab dann passiert beim Anklicken eines mailto-Links gar nichts mehr.

Beide Optionen können Sie auf die gleiche Weise auch wieder zurück setzen.

Quelle : www.pcwelt.de

[SiLæncer]

Ein Problem mit der aktuellen und früheren Version von Firefox macht derzeit von sich reden. Zahlreiche Verweise von Image-Source-Tags auf eine mailto-URI veranlassen das System, die mit Mail verknüpfte Anwendung beim Besuch einer Webseite ohne Nutzerinteraktion zu öffnen. Normalerweise sollte <img src=> einen Pfad zu einem Bild enthalten – eine mailto: hat dort eigentlich nichts zu suchen.

Ein bereits kursierender Exploit macht genau dies und ruft das Tag per JavaScript gleich 100-mal auf, sodass sich ebenso viele Thunderbird- oder Outlook-Fensterchen öffnen. Dass dies das System aus dem Tritt bringen kann, liegt nahe. Unter Umständen wird das System dadurch unbenutzbar. Bei einem Test der heise-Security-Redaktion verabschiedete sich allerdings nur Thunderbird nach dem hundertsten Fenster mit einer Fehlermeldungen – der Windows-XP-PC mit nur 256 MByte Speicher lief anschließend stabil weiter.

Wer kein Risiko eingehen will, schaltet in Firefox das automatische Öffnen der Mail-Anwendung einfach ab. In der Adressleiste gibt man dazu about:config ein und stellt die Option warn-external.mailto auf true. Allerdings muss der Anwender dann 100-mal den Dialog wegklicken. Alternativ lässt sich der Aufruf von Mail-Programm durch Firefox abstellen, indem man network.protocol-handler.external.mailto auf false setzt.

Siehe dazu auch:

    * Confirmed bug in Firefox 1.5.0.3, Bericht auf Securityreview

Quelle und Links : http://www.heise.de/security/news/meldung/73109

[SiLæncer]

Die Mozilla Foundation hat neue Versionen ihres Browsers und ihres Mail-Clients für Windows, Linux und Mac OS X veröffentlicht, in der mehrere kritischen Sicherheitslücken beseitigt sind. Ein Angreifer konnte darüber die Kontrolle über den Rechner übernehmen. Dazu genügt bereits der Besuch einer manipulierten Webseite oder das Öffnen einer bösartigen Mail. Die Aktualisierungen werden bereits über das automatische Update verteilt.

In Firefox 2.0.0.1 sind insgesamt acht Lücken geschlossen, fünf davon stufen die Entwickler als kritisch ein. Dazu gehören unter anderem ein Speicherzugriffsfehler beim Verarbeiten von SVG-Comment-Objects (Scalable Vector Graphics), über den sich Code einschleusen und ausführen lassen soll. Nicht ganz so einfach soll sich nach Einschätzung des Fehlerberichts der Mozilla-Foundation ein Fehler im LiveConnect-Code ausnutzen lassen, der die Kommunikation zwischen JavaScript und Java Applets ermöglicht. In der Regel stürze der Browser bei einem Angriff nur ab, man schließe aber nicht aus, dass mit einiger Anstrengung auch Codeausführung möglich ist. Da Thunderbird standardmäßig keine Applets lädt, kann das Problem dort eigentlich nicht auftreten – dennoch ist der fehlerhafte Code auch dort enthalten.

Zudem können Angreifer über die JavaScript-Methode watch() zum Beobachten von Werten in Skripten einen Rechner mit Schadcode infizieren. Genauere Angaben macht die Mozilla Foundation nicht, auf allen Bugzilla-Einträgen zu den Fehlern liegt während der "aktiven Update-Periode" noch ein Embargo. Teilweise veröffentlichen aber die Entdecker der Lücken bereits ihre eigenen Fehlerberichte.

Ein Heap Overflow tritt zudem bei der Umwandlung von präparierten Bildern in Windows-Bitmaps auf. Dazu müssen aber laut Bericht zusätzlich die Eigenschaften des CSS-Cursors in einer Seite manipuliert werden. Von dem Fehler ist nur die Windows-Version von Firefox betroffen.

Darüberhinus wurde die Stabilität der Browser verbessert, sodass weniger Abstürze auftreten sollen. Da einige dieser Abstürze Hinweise auf Speicherlecks lieferten, über die Angreifer eventuell Code in der Speicher schreiben und anspringen können, hat man dieses Problem ebenfalls als kritisch eingestuft.

Schlußendlich wurden noch zwei Cross-Site-Scripting-Schwachstellen (XSS) beseitigt und ein Problem mit RSS-Feeds behoben. Eine der XSS-Lücken findet sich nur in Firefox 2.0.0.1, die anderen Lücken wurden auch in Firefox 1.5.0.9 und Thunderbird 1.5.0.9 nur sieben Lücken beseitigt sind. In SeaMonkey 1.0.7 sind die Fehler ebenfalls ausgemerzt. Für Firefox 2.0.0.1 erwähnen die Entwickler explizit, dass nun auch Windows Vista unterstützt wird – allerdings noch mit einigen Problemen; so sind etwa einige Maßnahmen zu beachten für das automatische Update, auch kann Firefox noch nicht zum Default-Webbrowser unter Vista gemacht werden. Die Entwickler erwähnen zudem zwar in den Release-Notes für Thunderbird 1.5.0.9 den Fehler mit teilweise unaufgefordert gelöschten Mails nicht, laut dem Eintrag in Bugzilla wurde der Fehler aber mit der Version 1.5.0.9 korrigiert.

Firefox 2.0.0.1 und 1.5.0.9 sowie Thunderbird 1.5.0.9 stehen in diversen Landessprachen, darunter Deutsch, über die Downloadseiten von Mozilla bereit, werden aber auch über das Software-Update der Anwendungen verteilt. Firefox 1.0.x und Thunderbird 1.0.x werden nicht mehr unterstützt, sodass die Fehler dort nicht mehr behoben werden. Anwender sollten auf die aktuellen Releases wechseln.

Siehe dazu auch:

    * Known Vulnerabilities in Mozilla Products, Fehlerberichte der Mozilla Foundation

Quelle und Links : http://www.heise.de/security/news/meldung/82789

[SiLæncer]

Der Open-Source-Webbrowser Firefox hat Probleme mit seinem Schutz gegen Phishing und unerwünschte Pop-ups. So erkennt Firefox bis einschließlich der aktuellen Version 2.0.0.1 registrierte Phishing-URLs nicht mehr, wenn zusätzliche Schrägstriche als Verzeichnistrenner eingestreut sind, wie beispielsweise in www.heise.de///ct. Auf diese Weise ist es möglich, den Phishing-Schutz zu umgehen und URLs auf der Blacklist für eine neuen Phishing-Welle zu reaktivieren. In der Mozilla-Fehlerdatenbank ist dieses Problem zwar derzeit als behoben markiert, es ist jedoch nicht klar ersichtlich, ob das bedeutet, dass das Verhalten des Open-Source-Browsers geändert wird.

Eine mögliche Schwachstelle im Pop-up-Blocker will Michal Zalewski in Firefox 1.5.0.9 entdeckt haben. Sie erlaubt Angreifern möglicherweise, beliebige lokale Dateien auszulesen. Dazu muss sich laut Zalewski ein Angreifer die Tatsache zunutze machen, dass Firefox zum Download angebotene Dateien auch ohne Nutzerrückfragen herunterlädt und in einem temporären Verzeichnis abspeichert. Zugriffe auf lokale Dateien über den file://-Namensraum ist für Webseiten im Internet zwar verboten, doch ein lokal gespeicherter JavaScript-Code darf auch auf lokale Dateien zugreifen.

Zalewski schildert folgendes Angriffsszenario: Schickt eine manipulierte Webseite nach dem Klick auf ihre URL zunächst die HTML-Datei mit dem JavaScript-Code und einen Sekundenbruchteil später ein Pop-up, zeigt es Firefox an, weil Pop-ups als direkte Reaktion auf Nutzereingaben in der Standardeinstellung erlaubt sind. Dabei überdeckt das Pop-up den Download-Dialog, und die HTML-Datei landet ohne weitere Nutzerinteraktion zunächst unter einem Zufallsnamen im temporären Verzeichnis. In dem Pop-up-Fenster wird der Anwender darauf hingewiesen, dass für die ordentliche Funktionsweise der Webseite ein nachfolgendes Pop-up erlaubt werden müsse.

Das zweite Pop-up, dem der Anwender zustimmen muss, kann auf die lokal gespeicherte HTML-Datei mit dem Skript-Code verweisen, sofern ihr Zufallsname im temporären Verzeichnis vorhersagbar ist. Da der von Firefox verwendete Zufallszahlengenerator allerdings mit der aktuellen Uhrzeit initialisiert wird, lässt sich der erzeugte Dateiname laut Zalewski mit hinreichender Zuverlässigkeit vorhersagen. Ob das Ganze auch in der Praxis funktioniert, ist derzeit noch unklar; ein Demo-Exploit existiert bislang offenbar noch nicht.

Siehe dazu auch:

    * Firefox + popup blocker + XMLHttpRequest + srand() = oops von Michal Zalewski
    * Firefox Phishing Protection Bypass Vulnerability (Multiple /) von Kanedaaa
    * Bug 367538 – Firefox 2.0.0.1 Phishing Protection bypass in der Mozilla-Fehlerdatenbank


Quelle und Links : http://www.heise.de/security/news/meldung/85003

[SiLæncer]

Michal Zalewski hat eine Lücke in Firefox 2 und wahrscheinlich auch älteren Versionen entdeckt, die Angreifern Cross-Site-Scripting-Attacken ermöglicht. Das Problem entsteht dadurch, dass die location.hostname-Eigenschaft des Document Object Model (DOM) im Open-Source-Browser nicht mit NULL-terminierten Zeichenketten arbeitet. Dadurch stellt sich für Firefox in boeseseite.com\x00www.beispiel.de boeseseite.com als Subdomain von www.beispiel.de dar; der DNS-Eintrag löst jedoch wegen der NULL-terminierten Zeichenkette nach boeseseite.com auf.

Dadurch können Angreifer dann etwa Cookies von www.beispiel.de stehlen oder manipulieren. Auch die Eigenschaft document.domain können Angreifer so manipulieren und dadurch auf Inhalte anderer Frames zugreifen. Zalewski stellt eine Webseite bereit, die die Schwachstelle demonstriert. Die Entwickler diskutieren die Lücke in einem Eintrag im Bugzilla-System. Dort steht zu lesen, dass der Angriff nicht funktioniert, wenn Anwender in der Konfigurationsdatei den Eintrag

user_pref("capability.policy.default.Location.hostname.set", "noAccess");

ergänzen.

Abhilfe in Form eines Software-Updates gibt es bislang noch nicht. Allerdings wollen die Entwickler in Kürze Version 2.0.0.2 freigeben. In der bislang aktuellen Entwicklerversion 2.0.0.2 RC2 haben sie den Fehler jedoch noch nicht behoben.

Siehe dazu auch:

    * Firefox: serious cookie stealing / same-domain bypass vulnerability, Sicherheitsmeldung von Michal Zalewski
    * Demonstration der Sicherheitslücke von Zalewski
    * Eintrag im Bugzilla-System von Mozilla

Quelle und Links : http://www.heise.de/security/news/meldung/85351

[SiLæncer]

Phisher können einen Designfehler im Firefox-Browser ausnutzen, um vor Anwendern die wahre Herkunft einer Seite zu verschleiern. Auf diese Weise lassen sich etwa äußerst täuschend echte gemachte Seiten von Banken, eBay, PayPal und anderen Dienstleistern ins Netz stellen (Spoofing). Der Spezialist für Browsersicherheit Michal Zalewski hat zur Demonstration eine Seite zur Verfügung gestellt, auf der Interessierte das Problem nachvollziehen können. Die Demo funktioniert mit Firefox 1.5 und 2.0.

Laut Zalewski liegt das Problem im Umgang des Firefox mit der URL about:blank, die eine leere Seite öffnet. Dabei zeigt der Browser weder eine URL in der Adresszeile, noch eine Information in der Titelzeile des Fensters an. Auch JavaScripte können solch eine Seite öffnen. Allerdings lassen sich über diverse JavaScript-Funktion weitere Inhalte in die Seite einbauen. Zwar ist dies für Fenster, die aus unterschiedlichen Domains stammen, normalerweise nicht möglich. Da aber about:blank gar keiner Domain zugeordnet und die document.location nicht definiert ist, funktioniert es trotzdem. Auch ein nach Angaben von Zalewski älterer Spoofing-Fehler lässt sich in Firefox so wieder erneut ausnutzen.

Abhilfe dürfte derzeit nur das Abschalten von JavaScript oder der Einsatz des FF-Plug-ins NoScript bringen, das Scripting nur auf bekannten vertrauenswürdigen Seiten erlaubt

Siehe dazu auch:

    * Firefox about:blank spoofing demos, Schwachstellenbeschreibung von Michal Zaleeski -> http://lcamtuf.coredump.cx/ffblank/

Quelle : www.heise.de

[SiLæncer]

Portable Firefox liegt ab sofort in Version 2.0.0.3 vor. Die wesentliche Neuerung: Der Firefox für unterwegs hat nach dem Update die gleiche Versionsnummer wie der Standard-Firefox. Damit wurden im Firefox nicht nur einige kleinere Fehler beseitigt, sondern auch eine Sicherheitslücke geschlossen.

Portable Firefox ist eine Variante des bekannten Firefox-Browers, der sich unabhängig vom PC von mobilen Speichermedien wie einem USB-Stick starten lässt. Jetzt steht Portable Firefox in Version 2.0.0.3 zum Download bereit. Damit kommen Benutzer dieser mobilen Firefox-Version in den Genuss der gleichen Verbesserungen, wie es sie für den Standard-Firefox schon länger gibt : Ein Sicherheits-Update , verbesserte Kompatibilität zu einigen Websites und die üblichen Bugfixes.

Zusätzlich wurden für Portable Firefox 2.0.0.3 einige Standardeinstellungen geändert und der Launcher erweitert.

http://portableapps.com/apps/internet/firefox_portable

Quelle : www.pcwelt.de

[SiLæncer]

Die Mozilla-Entwickler haben zahlreiche Sicherheitslücken in den Open-Source-Programmen Firefox, Thunderbird und Seamonkey geschlossen. Die Lücken erlaubten Angreifern, Schadcode einzuschleusen, Cross-Site-Scripting-Angriffe auszuführen oder Teile des Anwendungsfensters mit fremden Inhalten zu überlagern.

Die Entwickler haben unter anderem an der Stabilität der Programme geschraubt. Die dabei behobenen Fehler in der Layout- und JavaScript-Engine, die Abstürze verursachten, konnten teilweise zum Einschleusen von fremdem Programmcode dienen. Die JavaScript-Funktion addEventListener konnten Angreifer missbrauchen, um die browserseitige Prüfung auf die gleiche Ursprungs-Domain zu umgehen und so Skript-Code aus anderen Domains in die aktuelle Seite injizieren.

In Thunderbird konnten die Anmeldedaten für Mailserver, die mit der verschlüsselten APOP-Authentifizierung geschützt waren, leichter geknackt werden, da das Programm das Protokoll nicht strikt genug umgesetzt hat. Elemente in der Beschreibungssprache für die Optik und das Layout der Mozilla-Programme XUL konnten bösartige Individuen so platzieren, dass sie Bereiche außerhalb der eigentlichen Inhaltsanzeige lagen, also etwa über der Adressleiste im Browser.

Außerdem haben die Mozilla-Entwickler eine fehlende Längeprüfung für Pfadangaben für Cookies nachgerüstet. Angreifer konnten dadurch große Mengen an Speicherplatz belegen und möglicherweise einen Denial-of-Service provozieren. Durch eine fehlende Prüfung auf das intern verwendete Trennzeichen zwischen den Werten für den Cookie-Pfad und den Feldnamen konnten etwa gekaperte, unsichere Webserver fälschlicherweise sichere Cookies schreiben.

Die Fehler betreffen die Programmversionen vor den jetzt herausgegebenen Fassungen Firefox 2.0.0.4 und 1.5.0.12, Thunderbird 2.0.0.4 und 1.5.0.12 sowie Seamonkey 1.1.2 und 1.0.9. Da Angreifer in den Vorgängerversionen möglicherweise Schadcode einschleusen können, sollten Mozilla-Nutzer das Update so bald wie möglich einspielen. Für Firefox wird bereits ein automatisches Update angeboten, in Kürze dürften auch die Aktualisierungen für Thunderbird und Seamonkey automatisch verteilt werden.

Firefox 1.5.0.12 soll die letzte unterstützte 1.5er Version sein. Die Entwickler wollen "in wenigen Wochen" ein automatisches Update auf die 2er-Version des Browsers anbieten.

Siehe dazu auch:

    * Known Vulnerabilities in Mozilla Products, Auflistung der geschlossenen Sicherheitslücken von den Mozilla-Entwicklern
    * Crashes with evidence of memory corruption, Fehlermeldung der Mozilla-Entwickler
    * XSS using addEventListener, Sicherheitsmeldung der Mozilla-Entwickler
    * Security Vulnerability in APOP Authentication, Fehlerbericht der Mozilla-Entwickler
    * Path Abuse in Cookies, Fehlermeldung der Mozilla-Entwickler
    * XUL Popup Spoofing, Scherheitsmeldung der Mozilla-Entwickler

Quelle und Links : http://www.heise.de/security/news/meldung/90407

[SiLæncer]

Der Student Christopher Soghoian warnt vor den Firefox-Erweiterungen von Firmen wie Google, Yahoo und AOL, die nicht über die Mozilla Add-ons-Seite ausgeliefert werden. In den allermeisten Fällen nutzen die nämlich für ihre Tests auf neue Updates und deren Download ungesicherte Verbindungen. Hat ein möglicher Angreifer Zugriff auf das verwendete Netz – beispielsweise in einem öffentlichen Funknetz – kann er diese Verbindungen recht einfach so umleiten, dass der Browser ohne Wissen des Anwenders eine Hintertür herunterlädt und dann installiert.

Als prominentes Beispiel führt Soghoian das beliebte Google Pack beziehungsweise die Google Toolbar an. Die meisten kleineren Erweiterungen sind hingegen nicht betroffen, da deren Entwickler meist die von Mozilla bereitgestellte Infrastruktur nutzen, die auf SSL-gesicherte Verbindungen aufsetzt. Die in Firefox/Mozilla implementierten Mechanismen für das Signieren von Code sind bislang ziemlich unterentwickelt und werden wohl auch deshalb praktisch nicht genutzt.

Soghoian hat neben dem Mozilla-Entwicklerteam auch viele große Firmen vor 45 Tagen auf dieses Problem aufmerksam gemacht. Für die Firefox/Ebay -Erweiterung hat das Mozilla-Team innerhalb von zwei Tagen eine überarbeitete Version bereitgestellt. Weitere Reaktionen sind bislang nicht dokumentiert.

Um sich zu schützen, sollten Anwender die betroffenen Erweiterungen zumindest beim Surfen in unsicheren Netzen vorübergehend deaktivieren. Festzustellen, welche Erweiterungen tatsächlich betroffen sind, dürfte im Einzelfall aber nicht ganz einfach sein, im Zweifelsfall sind es alle, die nicht von den offiziellen Mozilla/Firefox-Seiten stammen. Das Mozilla-Team sieht zwar die Verantwortung bei den jeweiligen Herstellern, denkt aber darüber nach, den Update-Mechanismus für Firefox 3 zu überarbeiten.

Siehe dazu auch:

    * A Remote Vulnerability in Firefox Extensions von Christopher Soghoian -> http://www.heise.de/security/news/meldung/90440

[SiLæncer]

Die Mozilla-Entwickler haben das Update 2.0.0.5 für ihren Web-Browser Firefox bereitgestellt. Er ist über die automatische Update-Funktion verfügbar, steht aber auch für Windows, Mac OS X und Linux in diversen Sprachen zum Download bereit. Firefox-Nutzern wird empfohlen, ihren Web-Browser schnellstmöglich zu aktualisieren.

Neue Funktionen hat das Update nicht zu bieten. Es beseitigt anscheinend unter anderem die kürzlich bekannt gewordene Sicherheitslücke, die sich durch ein trickreiches Zusammenspiel mit Microsofts Internet Explorer auftut. Zumindest die Demonstrationsseite von Thor Larholm funktionierte bei einem Test von heise Security nach der Installation des Updates nicht mehr.

In der Liste der beseitigten Schwachstellen ist das aktuelle Firefox-Update noch nicht aufgeführt. Kurz nach Bekanntwerden der Sicherheitslücke im Zusammenspiel mit dem Internet Explorer war aber bereits die Rede davon, dass sie noch in diesem Monat mit der Version 2.0.0.5 beseitigt werden soll – die Sicherheitsmeldungen für das 2.0.0.5er-Release scheinen derzeit aber noch in der Vorbereitung zu sein. Die Meldungen für die Firefox-Version 2.0.0.4 reichten bis MFSA-2007-17. Jetzt reichen die Advisories bis MFSA-2007-25; sie enthalten zwar bislang nur Dummy-Einträge, aber auch den Hinweis "Fixed in: Firefox 2.0.0.5". Insgesamt schließen die Entwickler daher wahrscheinlich acht Sicherheitslücken mit der neuen Browser-Version.

[Update]:
Mittlerweile haben die Entwickler die Informationen über die korrigierten Sicherheitslücken freigeschaltet. Tatsächlich werden acht Lecks gestopft, darunter die bereits angesprochene Lücke im Zusammenspiel mit dem Internet Explorer. Auch das Sicherheitsproblem beim Zugriff auf wyciwyg://-URIs, das am Wochenende bekannt wurde und für Spoofing genutzt werden konnte, ist behoben. Außerdem wurden als schwerwiegende Fehler unter anderem Bugs behoben, die zu Abstürzen mit der Möglichkeit führten, Code einzuschleusen, und ein Leck geschlossen, mit dem über den Event-Handler eine Rechteausweitung gelang.

Quelle und Links : http://www.heise.de/security/news/meldung/92864