Thema: Firefox ...

[SiLæncer]

Manchmal ist es ein Kreuz mit der Software-Entwicklung und der Kontrolle der Änderungen in einzelnen Versionen, mögen sich die Programmierer des Open-Source-Webbrowsers Firefox gedacht haben: Da korrigiert man einige Sicherheitslecks und führt mit der dafür freigegebenen neuen Version seiner Software einen alten Fehler wieder ein – und muss daher schnell eine weitere Version nachlegen.

So erneut  geschehen mit Firefox 2.0.0.10: Neben drei geschlossenen Sicherheitslücken tauchte ein früher bereits behobener Fehler in der JavaScript-Methode canvas.drawImage() wieder auf. Firefox 2.0.0.10 reagiert auf die JavaScript-Methode canvas.drawImage() mit der Ausnahme "NS_ERROR_NOT_AVAILABLE". Das Canvas-Objekt, ein seit Firefox 1.5 unterstützter Bestandteil von (X)HTML5, ermöglicht Vektorgrafiken per HTML und JavaScript; die fehlerhafte drawImage()-Methode zeichnet Pixelbilder in die Vektorgrafiken.

Die Entwickler der Mozilla-Foundation haben daher eine weitere Bugfix-Version nachgeschoben: Firefox 2.0.0.11 korrigiert den Fehler. Die neue Version, deren Release Notes recht knapp ausgefallen sind, steht zum Download in diversen Landessprachen, darunter Deutsch, für Windows, Mac OS X und Linux zur Verfügung. Außerdem wird sie innerhalb von 48 Stunden nach und nach an alle Nutzer des Browsers verteilt, die die automatische Update-Funktion aktiviert haben.

Parallel wurde die Version 1.1.7 der auf Mozilla-Code und der ehemaligen Mozilla-Suite basierenden Websuite Seamonkey veröffentlicht. Sie schließt die gleichen Sicherheitslecks wie Firefox 2.0.0.10 sowie einige Bugfixes – da die Version aber noch Korrektur des Fehlers in canvas.drawImage() im Firefox-Code fertig wurde, soll dieser Bug in der neuen Seamonkey-Version gar nicht erst wieder auftauchen.

Quelle : www.heise.de

[SiLæncer]

Firefox weist nach Angaben des israelischen Sicherheitsspezialisten Aviv Raff eine Schwachstelle bei der Darstellung von Authentifizierungs-Dialogen auf, die es beispielsweise Phishern erleichtern soll, Anwendern Anmeldedaten von Webseiten abzuluchsen. Die Basic Authentication dient zur Zugriffsbeschränkung auf Webseiten und erfordert die Eingabe des Usernamens und eines Passwortes. In der dazu passenden Dialogbox ist neben dem Namen der anfordernden Instanz, dem so genannten Realm, auch angegeben, von welchem Webserver die Authentifizierungsaufforderung kam. Allerdings schlampt Firefox offenbar bei der Auswertung und Anzeige des Realms. Mit Single Quotes und Spaces lässt sich laut Raff ein Dialog darstellen, der dem Anwender vorgaukelt, von einer ihm vertrauten Seite zu stammen, obwohl er von einer Phishing-Seite stammt.

Raff hat auf seiner Webseite eine Videodatei (WMV-Datei) hinterlegt, die das Problem demonstriert. Für einen erfolgreichen Angriff muss ein Opfer aber einem präparierten Link auf einer bösartigen Webseite folgen. Allerdings ist nicht so ohne Weiteres ersichtlich, dass man gerade angegriffen wird – man stelle sich vor, eine scheinbar harmlose Seite von MySpace verlinkt auf die Buchwunschliste von Amazon und gaukelt anschließend dort einen Login vor. Bei der veränderten Art des Logins sollen dem Opfer aber immerhin Zweifel kommen, dass es noch mit rechten Dingen zugeht.

Betroffen sind laut Bericht Mozilla Firefox 2.0.0.11 und wahrscheinlich vorherige Versionen, möglicherweise auch anderen Produkte der Mozilla Foundation. Ein Update gibt es noch nicht. Raff empfiehlt bis dahin, kein Anmeldedaten in den genannten Dialogen einzugeben. Zuletzt hatte er auf ein Sicherheitsproblem in der Toolbar von Google aufmerksam gemacht.

Siehe dazu auch:

    * Yet another Dialog Spoofing - Firefox Basic Authentication, Fehlerbericht von Aviv Raff

Quelle und Links : http://www.heise.de/security/news/meldung/101233/Spoofing-Schwachstelle-im-Webbrowser-Firefox

[SiLæncer]

Aufgrund einer sogenannten Directory-Traversal-Schwachstelle in Firefox können manipulierte Webseiten möglicherweise vertrauliche Informationen auf dem Rechner auslesen. Die Mozilla-Entwickler untersuchen das Sicherheitsleck zurzeit.

In dem Blog hiredhacker.com ist eine Demonstration der Schwachstelle aufgetaucht. Sie soll vorführen, wie eine Webseite auf die gespeicherten Einstellungen des Mailprogramms Thunderbird zugreifen kann. Dazu muss in Firefox jedoch eine Erweiterung installiert sein, die nicht als .jar-Archiv verpackt ist. Den Mozilla-Entwicklern zufolge liegen Browser-Erweiterungen allerdings häufiger in so einer Form vor. Eine Webseite kann beispielsweise mit den Befehlen zum Einbinden von Bildern, Skripten oder Stylesheets dann auf chrome://-URLs zugreifen. In diesen URLs wandelt Firefox kodierte Zeichen wie %2e%2e%2f nicht in ../ um und filtert sie auch nicht aus, sodass darüber beliebige Dateien ausgelesen werden können.

Angreifer können so jedoch auch überprüfen, ob bestimmte Programme und Erweiterungen installiert sind. Damit können Schädlingsbastler, die Anwendern mit präparierten Webseiten Schadcode unterjubeln wollen, möglicherweise mit einer solchen Webseite noch mehr Schwachstellen auf einem Rechner finden und missbrauchen.

Als Beispiele für Erweiterungen, die das Ausnutzen der Schwachstelle ermöglichen, nennen die Mozilla-Entwickler Download Statusbar und Greasemonkey. Der Entwickler von Download Statusbar hat inwischen ein aktualisiertes Paket bereitgestellt, das als .jar verpackt ist. Nutzer des Add-ons sollten die installierte Version rasch aktualisieren.

Den Fehler haben die Mozilla-Entwickler ursprünglich als niedriges Risiko eingestuft. Dem Eintrag im Fehlerverfolgungssystem Bugzilla zufolge soll der Fehler in der Render-Engine Version 1.8.1.12 beseitigt werden; Firefox 2.0.11 nutzt Version 1.8.1.11. Wann die fehlerbereinigte Version erscheinen soll, ist bislang jedoch noch unklar.

Siehe dazu auch:

    * chrome protocol directory traversal, Eintrag im Mozilla-Sicherheits-Blog
    * chrome directory traversal (local disk access via "flat" addons), Eintrag im Mozilla-Bugtracker
    * Firefox chrome: URL Handling Directory Traversal., Eintrag im Blog hiredhacker

Quelle : http://www.heise.de/security/news/meldung/102271/Firefox-gibt-Informationen-preis--

[SiLæncer]

Mit Hilfe unkonventionell gepackter Firefox-Erweiterungen kann eine Sicherheitslücke im chrome-Protokoll des Mozilla-Browsers ausgenutzt werden, um Benutzerdaten auszulesen.

Auf einer Hacker-Website ist ein Demo-Exploit veröffentlicht worden, der die Ausnutzung einer bis dahin noch nicht bekannten Schwachstelle in Firefox aufzeigt. Er demonstriert den Zugriff auf Einstellungen des Mail-Programms Thunderbird. Voraussetzung ist, dass eine Firefox-Erweiterung installiert ist, die nicht wie üblich als JAR-Archiv verpackt ist. Mit einer speziell präparierten Web-Seite könnten Angreifer Scripte einsetzen, die auf chrome://-URLs zugreifen und Daten auslesen, die an sich nicht zugänglich sein sollten.

Wie die Mozilla-Sicherheitschefin Window Snyder inzwischen bestätigt hat, filtert Firefox Verzeichnisangaben wie "../" (Wechsel in eine höhere Ebene) unter Umständen nicht aus. Script-Code in einer präparierten Web-Seite kann so Bilder, weitere Scripte oder Stylesheets von bekannten Speicherorten auf der lokalen Festplatte laden.

Mit Hilfe eines solchen Angriffs könnten Daten ausspioniert werden, die sich für weitere Angriffe ausnutzen lassen, etwa für Phishing. So können Angreifer auch Informationen über weitere installierte Erweiterungen erhalten. Erweiterungen wie "Download Statusbar" und "Greasemonkey" sind Beispiele für Add-ons, die nicht als JAR-Archiv verpackt sind und daher diese Tür für Angriffe öffnen können. Diese beiden sind inzwischen in einer neuen Fassung erhältlich, die in einem JAR-Archiv steckt und daher nicht mehr ausgenutzt werden kann.

Die Mozilla-Entwickler arbeiten in der Zwischenzeit an einer Lösung, die im nächsten Update für Firefox enthalten sein wird. In der Zwischenzeit können sich Firefox-Nutzer mit der Erweiterung "Noscript" schützen, die auch Zugriffe auf das chrome-Protokoll blockiert.

Quelle : www.pcwelt.de

[SiLæncer]

Das Risiko einer kürzlich bekannt gewordenen Sicherheitslücke in Firefox, die das Ausspähen von Daten auf dem Rechner ermöglicht, schätzen die Mozilla-Entwickler inzwischen als hoch ein. Durch Browser-Add-ons, die nicht als .jar-Archiv verpackt sind, sondern als sogenanntes "Flat Package" vorliegen, können Angreifer mit manipulierten chrome://-Verknüpfungen in bestimmten HTML-Tags in Webseiten die Lücke ausnutzen.

Im Sicherheitsblog der Mozilla-Foundation hat die Sicherheitschefin Window Snyder ein Status-Update eingestellt. Darin verlinkt sie eine ausführliche, aber nicht vollständige Liste von Add-ons, die nicht als .jar-Paket installiert werden und daher die Sicherheitslücke aufreißen. Die Entwickler der Add-ons bittet Snyder zudem, die Add-ons in ein .jar-Archiv zu verpacken und die Aktualisierung zu veröffentlichen.

Gerry Eisenhaur hat den Blog-Eintrag auf hiredhacker.com zwischenzeitlich aktualisiert, in dem er die Lücke bekannt gemacht hat, um eine weitere Demonstration der Lücke zu ergänzen, die den Inhalt der sessionstore.js-Datei ausliest. Sie soll dadurch Informationen der aktuellen Browsersitzung wie Cookies oder geöffnete Tabulatoren anzeigen. Eisenhaur weist in dem Blog-Eintrag auch darauf hin, dass die populäre Browser-Erweiterung NoScript vor Angriffen auf diese Lücke schützt.

Die Mozilla-Entwickler haben den Fehler in den Entwicklungszweigen bereits behoben und testen den Code in den Nightly Builds des Release-Candidate von Firefox 2.0.0.12. Medienberichten zufolge soll der Browser am 5. Februar in der finalen Version freigegeben werden.

Quelle : www.heise.de

[SiLæncer]

Die Mozilla-Foundation hat mit dem Update des Firefox-Browser auf Version 2.0.0.12 zahlreiche Sicherheitslücken beseitigt. Zwar gibt es nur elf Fehlerberichte, darin sind aber teilweise jeweils mehrere Fehler zusammengefasst. Mindestens drei davon stufen die Entwickler als kritisch ein. Dazu gehört ein Fehler, mit dem eine manipulierte Webseite über designMode-Frames die Browser-Historie auslesen kann. Zusätzlich lässt sich der Browser dadurch auch zum Absturz bringen. Nach Meinung der Entwickler ließe sich der Fehler eventuell auch zum Einschleusen von Code ausnutzen.

Der Fehlerbericht 2008-03 erwähnt gleich mehrere kritische Fehler, mit denen es möglich sein soll, JavaScript mit Chrome-Privilegien, also den höchsten Rechten, in Firefox auszuführen. Zudem weist der Bericht auf eine Schwachstelle in der Funktion XMLDocument.load hin, über die sich JavaScript in einen anderen Frame injizieren lässt. Laut Advisory 2008-01 gab es zudem mehrere Fehler in der Browser-Engine, die zum Absturz führten. Bei einigen dieser Fehler vermuten die Entwickler, dass ein Angreifer sie mit einem gewissem Aufwand ausnutzen könne, um einen PC mit Schadcode zu infizieren.

Auch der Mail-Client Thunderbird ist für dieses Problem anfällig, allerdings treten die Fehler wohl nur in Zusammenhang mit JavaScript auf – und das ist in Thunderbird standardmäßig deaktiviert. Der Fehler soll zwar in Version 2.0.0.12 des Mail-Clients behoben sein, bislang steht aber immer noch Version 2.0.0.9 auf den offiziellen Seiten zum Download.

Auch die kürzlich bekannt gewordene Directory-Traversal-Lücke wurde geschlossen. Durch Browser-Add-ons, die nicht als .jar-Archiv verpackt sind, sondern als so genanntes "Flat Package" vorliegen, können Angreifer mit manipulierten chrome://-Verknüpfungen in bestimmten HTML-Tags in Webseiten die Lücke ausnutzen. Die restlichen Fehler sind weniger kritisch bis unkritisch.

Auch die Web-Suite Seamonkey ist in der aktualisierten Fassung 1.1.8 erschienen. Anwender von Firefox, Thunderbird und Seamonkey können zur Aktualisierung die integrierte Update-Funktion benutzen. Anwender der meisten Linux-Distributionen müssen auf die neuen Paketen warten, da die Update-Funktion in den Anwendungen selbst deaktiviert ist.

Siehe dazu auch:

    * Known Vulnerabilities in Mozilla Products, Fehlerbericht der Mozilla-Foundation

Quelle : http://www.heise.de/newsticker/meldung/103173

[SiLæncer]

 Die Firefox-Entwickler haben Version 3.0.5 vorgelegt, in der acht Sicherheitslücken beseitigt sind. Drei davon haben die Entwickler als kritisch eingestuft, wovon zwei das Aushebeln der Same-Origin-Policy und damit das Ausführen von JavaScript im Kontext anderer Seiten ermöglichen. Die dritte kritische Lücke ist auf mehrere Fehler in der Browser-Engine zurückzuführen, die in der Regel zum Absturz des Browsers führen. Allerdings gibt es Hinweise darauf, dass sich darüber auch Code einschleusen und ausführen lässt. Die Entwickler gehen in solchen Fällen in der Regel auf Nummer sicher und stufen daher auch solche potenziellen Lücken als kritisch ein.

Eine vierte Lücke wird als weniger kritisch angesehen, sie ermöglicht aber immerhin JavaScripten auf einer bösartigen Seite den Cross-Domain-Zugriff auf Daten nach einem Redirect auf eine andere Seite. Die restlichen Probleme in Firefox sind eher unkritisch.

In Version Firefox 2.0.0.19 des Firefox sind die gleichen Lücken wie in 3.0.5 beseitigt. Zusätzlich wurde aber noch eine Cross-Site-Scripting-Lücke im Feed Preview aus der Welt geschaffen. Für die Version 2.x ist dies das letzte Update. Die Reihe wird ab nun nicht mehr weitergepflegt, Sicherheits-Updates gibt es keine mehr. Darüberhinaus wurde für die Version 2.x der Pishing-Schutz wie angekündigt deaktiviert. Anwender erhalten nun beim Aufruf von betrügerischer Seiten keine Warnungen mehr. Die Mozilla Foundation empfiehlt Anwendern, auf die Firefox-Version 3.0 umzusteigen.

Zudem ist SeaMonkey in Version 1.1.14 erschienen, in dem ebenfalls mehrere Lücken geschlossen sind. Vom einigen der nun beseitigten Probleme ist auch der Mailclient Thunderbird betroffen. Üblicherweise erscheint ein Update aber erst einige Tage nach Veröffentlichung der Browser. Ohnehin ist derzeit nicht ganz klar, wie es mit Sicherheits-Updates für Thunderbird 2 weitergeht, der auf der Gecko-Engine 1.8 beruht, die mit Einstellung des Supports für Firefox 2.x nun aber nicht mehr gepflegt werden soll. Der Nachfolger Thunderbird 3 dürfte indes noch einige Monate auf sich warten lassen.

Unterdessen führt Firefox nach Angaben des Herstellers Bit9, einem Spezialisten für Application Whitelisting und Application Control, die Liste der am meisten verwundbaren Anwendungen (PDF-Datei) unter Windows an. Dicht darauf folgen Adobe Reader, Adobe Flash, VMware, Java und QuickTime. Auf die Liste gelangten jedoch nur solche Anwendungen, die sich nicht durch Softwareverteilungs- und Update-Tools wie Microsoft SMS und WSUS aktualisieren lassen.

Siehe dazu auch:

    * Mozilla amputiert Phishing-Schutz in Firefox 2, Bericht auf heise Security
    * Firefox 2: Das Ende naht, Bericht auf heise Security

Quelle : http://www.heise.de/newsticker/Webbrowser-Firefox-3-0-5-schliesst-mehrere-Sicherheitsluecken--/meldung/120565

[SiLæncer]

 Eigentlich sollte die gestern veröffentlichte Version 2.0.19 die letzte für Firefox 2 sein. Doch laut Firefox-Chef Mike Beltzner fehlt ausgerechnet wegen eines Schreibfehlers zumindest in der Windows-Version ein Patch. Welche der acht Sicherheitslücken das betrifft, führt Beltzer nicht weiter aus. Er schreibt jedoch, dass der Fehler im Packetierungs- und Signierungs-Prozess aufgetreten sei. Das erklärt, weshalb nur die Windows-Version betroffen sein soll und die anderen nicht.
Anzeige

Jetzt will das Mozilla-Team zumindest für Windows baldmöglichst eine allerletzte Version 2.0.20 nachlegen, die den Patch enthält. Mozilla empfiehlt jedoch nach wie vor allen Anwendern, gleich auf Firefox 3 umzusteigen, insbesondere auch, weil Firefox 2.0.19 keinen Phishing-Schutz mehr enthält.

Quelle : www.heise.de

[ritschibie]

Danke Sil, hat sich bei mir gestern vollautomatisch installiert! Aber, dass der Fuchs die Hitliste der verwundbarsten Anwendungen anführt, läßt nachdenklich werden (da war ich wohl zu naiv!)

[SiLæncer]

 Die Entwickler haben sich beeilt und einen Patch für Firefox 2 nachgereicht, der zumindest der Windows-Version des vorgestern erschienenen Version 2.0.19 des freien Browsers fehlte. Mit Firefox 2.0.20 schickt Mozilla den Zweier-Zweig des Browsers offiziell in den Ruhestand und legt Nutzern ein Upgrade auf Firefox 3.0 ans Herz.

Firefox 2.0.0.20 steht auf den Mozilla-Seiten zum Download bereit, lässt sich jedoch auch mit der im Browser eingebauten Update-Funktion aktualisieren.

Quelle : www.heise.de

[SiLæncer]

Aktuelle Version beseitigt Sicherheitslücken

Mit Thunderbird 2.0.0.19 werden mehrere Sicherheitslücken in dem E-Mail-Client beseitigt. Damit zieht der E-Mail-Client mit dem Browser Firefox gleich, für den das Sicherheitsupdate bereits seit zwei Wochen verfügbar ist.
Die Sicherheitslecks in Thunderbird weisen im Unterschied zu den gleichen Sicherheitslücken in Firefox eine geringere Gefährdungsstufe auf. Denn standardmäßig sind in Thunderbird als Vorsichtsmaßnahme alle JavaScript-Funktionen deaktiviert und die Mehrzahl der beseitigten Sicherheitslöcher lässt sich nur über JavaScript ausnutzen.

Falls JavaScript in Thunderbird aktiviert ist, können gleich eine Reihe von Sicherheitslücken dazu missbraucht werden, schadhaften Programmcode auszuführen. Ein Opfer muss lediglich dazu gebracht werden, eine entsprechend manipulierte HTML-E-Mail mit dem E-Mail-Client zu öffnen. Zwei andere Sicherheitslecks in Thunderbird lassen sich nicht direkt für schädliche Aktionen missbrauchen und weisen damit ein noch geringeres Risiko auf.

Thunderbird 2.0.0.19 steht ab sofort für Windows, Linux und MacOS X unter anderem in deutscher Sprache als Download bereit.

http://www.mozilla.com/en-US/thunderbird/all.html

Quelle : www.golem.de

[SiLæncer]

Neue Version schließt sechs Sicherheitslücken

Mozilla hat den Browser Firefox in der Version 3.0.6 veröffentlicht. Die neue Version korrigiert einige allgemeine Programmfehler und schließt Sicherheitslücken. Eine dieser Sicherheitslecks stufen die Entwickler als kritisch ein.
Korrekturen für sechs Sicherheitsprobleme enthält die neue Firefox-Version 3.0.6. Eines der Probleme stuften die Entwickler als kritisch ein, es betrifft die Browser-Engine. Durch Javascript soll es Angreifern möglich sein, den Browser zum Absturz zu bringen oder beliebigen Code auszuführen. Thunderbird und SeaMonkey enthalten den Fehler ebenfalls.

Weiterhin soll Firefox 3.0.6 für mehr Stabilität sorgen. Skriptgesteuerte Befehle, wie sie einige Erweiterungen verwenden, arbeiten jetzt besser mit Plug-ins zusammen und aus den Absturzmeldungen wurde die Benutzerkennung entfernt. Außerdem behebt die neue Version einen Fehler, der zu Problemen mit mit der Aktualisierung verschiedener Bildschirmbereiche führte, wenn der Browser längere Zeit geöffnet war.

Firefox 3.0.6 steht ab sofort zum Download für Windows, Mac und Linux bereit. Die Entwickler empfehlen, die neue Version zu installieren. Sie soll auch über die Auto-Update-Funktion des Browsers angeboten werden.

Quelle : www.golem.de

[SiLæncer]

Thunderbird und SeaMonkey sind ebenfalls betroffen

Die Version 3.0.7 von Firefox beseitigt mehrere Sicherheitslücken, wovon die Mehrzahl zur Ausführung beliebigen Programmcodes missbraucht werden kann. Neue Funktionen bringt das Update ansonsten nicht, es korrigiert aber einige Programmfehler.
Die als gefährlich eingestuften Sicherheitslücken befinden sich in den JavaScript-Funktionen von Firefox, bei der Verarbeitung von XUL-DOM-Elementen sowie bei der PNG-Darstellung. In allen Fällen braucht ein Angreifer sein Opfer nur dazu zu verleiten, eine entsprechend präparierte Webseite zu öffnen, um das Sicherheitsloch auszunutzen und Schadcode auszuführen.

Ein weiterer Fehler bei der XML-Datenverarbeitung erlaubt das Ausspähen von Daten und wird als weniger gefährlich klassifiziert. Zudem kommt es bei der URL-Verarbeitung zu einem Fehler, so dass Spoofing-Angriffe möglich sind. Beide Sicherheitslücken beseitigt das Firefox-Update auf die Version 3.0.7.

Darüber hinaus korrigiert die aktuelle Firefox-Version einige kleinere Programmfehler. Unter anderem soll es nicht mehr passieren, dass alle Einträge im Dateimenü inaktiv sind, nachdem der Nutzer den Druckbefehl des Browsers genutzt hat. In einigen Fällen vergaß Firefox gespeicherte Cookie-Daten nach einigen Tagen. Auch dieser Fehler soll nicht mehr vorkommen.

Firefox 3.0.7 steht ab sofort als Download unter anderem in deutscher Sprache für Windows, Linux und MacOS bereit. Alternativ steht die aktuelle Version bereits über die Updatefunktion der Software zur Verfügung.

Die mit Firefox 3.0.7 geschlossenen Sicherheitslücken finden sich auch in Thunderbird 2.x sowie SeaMonkey 1.1.x. Bislang stehen von diesen Applikationen aber keine aktualisierten Programmversionen zur Verfügung.

Quelle : www.golem.de

[SiLæncer]

Die Mozilla-Foundation will kommende Woche die Firefox-Version 3.0.8 veröffentlichen, um eine kritische Lücke in ihrem Browser zu schließen. Bekannt geworden war die Lücke durch die Veröffentlichung eines Proof-of-Concept-Exploits am gestrigen Mittwoch durch den Sicherheitsspezialisten Guio Landi. Ursache des Problems ist ein Fehler bei der Verarbeitung fehlerhafter XML- beziehungsweise XSL-Dateien, die zu einem Speicherfehler führen.

Der Demo-Code von Landi verursachte zwar bei einem kurzen Test der heise-Security-Redaktion nur den Absturz des Browsers, offenbar lässt er sich aber in der nicht entschärften Version zum Einschleusen und Ausführen von Code ausnutzen. Dazu muss man aber nach Angaben des Autors Heap Spraying einsetzen, weshalb vermutlich das Deaktivieren von JavaScript kurzfristig Schutz vor echten Exploits bieten könnte.

Betroffen sind die Versionen 3.0 bis 3.0.7 auf allen Betriebssystemen. Die Firefox-Entwickler haben zwar bereits einen Patch entwickelt, der muss aber noch getestet werden. Der Fehler ist nach Meinung des Entwicklers Blake Kaplan eigentlich ziemlich offensichtlich – wenn man denn einmal richtig hingeschaut hat. Version 3.0.8 ist in den Release-Ankündigungen als "high-priority firedrill security update" vermerkt.

Quelle : http://www.heise.de/newsticker/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/meldung/135284

[SiLæncer]

Mozilla beseitigt Lücke von Pwn2Own-Gewinner Nils

Mozilla schließt zwei kritische Sicherheitslücken im Browser Firefox. Mindestens eine davon kann von Angreifern genutzt werden, um fremden Code auszuführen.
Über ein beliebiges XUL-Element lässt sich in Firefox 3 fremder Code ausführen und so die Kontrolle über den Browser und das System übernehmen (MFSA 2009-13). Entdeckt hat das Problem ein Sicherheitsforscher namens Nils, der damit den Wettbewerb Pwn2Own auf der Konferenz CanSecWest gewann.

Der zweite Fehler tritt bei der XSL-Transformation auf. Guido Landi fand heraus, dass ein XSL-Stylesheet Firefox zum Absturz bringen kann. Das könnten Angreifen womöglich nutzen, um eigenen Code auf fremden Systemen auszuführen (MFSA 2009-12).

Firefox 3.0.8 beseitigt diese beiden Sicherheitslücken und steht unter mozilla.com zum Download und über die interne Updatefunktion bereit.

Quelle : www.golem.de