Thema: Firefox ...

[SiLæncer]

Details zu korrigierten Sicherheitslecks in Firefox 1.0.1

Die heute veröffentlichte Version 1.0.1 des Mozilla-Ablegers Firefox stopft mehrere Sicherheitslöcher des Open-Source-Browsers.

Bereits Anfang Februar wies Michael Krax auf drei Schwachstellen in Mozilla und Firefox hin. Zur Veröffentlichung von Firefox 1.0.1 demonstriert er deren Bedeutung nochmals eindrucksvoll mit einer Demo names Firescrolling: Scrollt ein Anwender eine Web-Seite mit der Maus zwei Mal nach unten, wird im Hintergrund eine Datei auf seinem System angelegt. Der einzige Hinweis auf die heimlichen Aktivitäten im Hintergrund ist ein veränderter Mauszeiger, wenn dieser in den Scrollbalken fährt. Die Demo könnte genauso gut Dateien löschen oder ein bösartiges Programm im Autostart-Ordner platzieren, sodass es beim nächsten Anmelden automatisch gestartet wird.

Der zentrale Fehler ist die Tatsache, dass Firefox und auch Mozilla nicht ausreichend überprüfen, welche URLs ein Plugin aufruft. So ist es möglich, über eine Flash-Datei eine chrome-URL zu laden. Diese Pseudo-URL steht für das GUI des Browsers und kann Script-Code mit vollem Zugriff auf lokale Ressourcen ausführen. Insbesondere lassen sich dort Objekte zum Zugriff aufs Dateisystem erstellen und via Skript fernsteuern.

Das für einen beträchtlichen Teil der Sicherheitslöcher des Internet Explorer verantwortliche Dreigestirn ActiveX, JScript und lokale Zone findet damit seine Entsprechung in Cross Platform Component Object Model (XPCOM), JavaScript und chrome-URLs; http-equivs "What a drag", bei der mit dem Internet Explorer durch Drag&Drop auf einer Web-Seite ein Programm im Autostart-Ordner landet, erfährt seine Fortsetzung in "Firescrolling" bei Firefox.

Der c't-Browsercheck demonstriert das Problem für Firefox 1.0 unter Windows, aber auch andere Betriebssystemversionen sind betroffen. Anwender sollten die aktuelle Version 1.0.1 installieren. Sie überwacht Plugins besser, sodass dieser Angriff nicht mehr möglich ist. Das deutsche Update ist derzeit noch nicht überall verlinkt; es steht auf dem Mozilla-FTP-Server zum Download bereit.

Quelle und Links : http://www.heise.de/newsticker/meldung/56795

[SiLæncer]

Die Mozilla-Foundation hat eine neue Version des Webbrowsers Firefox herausgegeben, die Verbesserungen bei der Stabilität bringt, aber auch einige Sicherheitsprobleme beseitigt. Dazu gehören etwa die Möglichkeit, die eigentliche Quelle eines Downloads zu verschleiern, oder der Bug, durch den sich mittels Drag&Drop eines Images eine ausführbare Datei auf dem lokalen Rechner des Anwenders platzieren lässt.

Auch umgeht die Version 1.0.1 nun wie angekündigt den kürzlich bekannt gewordenen Phishing-Trick bei Internationalized Domain Names (IDN). Bei dem Trick wurden Domainnamen mit länderspezifischen Sonderzeichen registriert. Einige dieser Sonderzeichen sehen jedoch den Buchstaben aus dem lateinischen Alphabet sehr ähnlich. Dies wurde bei der Demonstration der Sicherheitslücke mit der Domain paypal.com gezeigt, indem als erste a ein kyrillischer Buchstabe benutzt wurde. Zwischenzeitlich hatte das Firefox-Team daher erwogen, die Unterstützung von IDN vorrübergehend zu deaktivieren. Nun wird das Problem jedoch umgangen, indem Firefox in der Adressleiste den bei der DNS-Auflösung verwendeten Punycode anzeigt -- der Domainname paypal.com mit kyrillischem a wird dann beispielsweise als "www.xn--pypal-4ve.com" dargestellt.

Die Mozilla-Entwickler hatten vorher mehrfach betont, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser ist, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im Punycode-RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin.

Mit Firefox in der Version 1.0 konnte die Mozilla-Foundation einige Erfolge feiern und gegen Microsofts Internet Explorer Marktanteile gewinnen. Vor kurzem freuten sich die Mozilla-Entwickler bereits über 25 Millionen Downloads ihrers Standalone-Webbrowsers. Microsoft sah sich mittlerweile sogar gezwungen, entgegen den ursprünglichen Plänen eine neue selbstständige Version des Internet Explorer anzukündigen, die für mehr Sicherheit sorgen soll -- ursprünglich sollte ein neuer Microsoft-Webbrowser mit der nächsten Windows-Version Longhorn verzahnt werden.

Das deutsche Version 1.0.1 ist derzeit noch nicht überall verlinkt; sie steht unter anderem auf dem Mozilla-FTP-Server zum Download bereit.

Quelle und Links : http://www.heise.de/newsticker/meldung/56792

[SiLæncer]

Die Mozilla Foundation hat Version 1.0.3 seines Browsers Firefox sowie Release 1.7.7 der Internet-Suite Mozilla herausgebracht. Die Updates schließen neun Sicherheitslücken, darunter ein JavaScript-Problem, das es dem Angreifer ermöglicht, auf dem PC des Opfers Teile des Hauptspeichers auszulesen. Des Weiteren haben die Entwickler drei bislang unveröffentlichte Schwachstellen beseitigt, die sie selbst als kritisch einstufen. Über zwei davon kann ein Angreifer laut Fehlerbeschreibung eigenen Code auf einem Rechner ausführen. Als Workaround hilft hier auch das Abschalten von JavaScript

Ob alle Firefox- und Mozilla-Erweiterungen, die mit den Vorgängerversionen laufen, auch mit den neuen Releases funktionieren, steht zu bezweifeln. Noch gestern waren die Entwickler auf der Jagd nach inkompatiblen Erweiterungen. Die Mozilla-Foundation erklärte aber, man habe mit den Autoren der Erweiterungen zusammengearbeitet. Updates für die einzelnen Extensions, die bereits verfügbar seien oder in den nächsten Tagen veröffentlicht würden, sollten möglicherweise bestehende Probleme mit den neuen Releases beheben.

Quelle und Links : http://www.heise.de/newsticker/meldung/58649

[SiLæncer]

Die deutsche Firefox 1.03 gibts mittlerweile auch : http://www.mozilla-europe.org/de/products/firefox/

[SiLæncer]

Aktuelle Versionen der Browser-Applikationen beseitigen Sicherheitslücken

Die aktuellen Versionen von Firefox und Mozilla stehen mit deutschsprachiger Oberfläche zum Download bereit. Die aktuellen Versionen beheben vor allem einige Sicherheitslöcher in den Browser-Applikationen, so dass man mit Firefox 1.0.3 und Mozilla 1.7.7 vor möglichen Angriffen geschützt sein sollte.
   
Neue Funktionen bringen weder Firefox noch Mozilla, vielmehr geht es um das Stopfen von Sicherheitslücken und die Erhöhung der Stabilität. Dabei hatten die Entwickler einige Schwierigkeiten aus dem Weg zu räumen, denn zunächst wollten einige Erweiterungen mit Firefox 1.0.3 nicht laufen. In Zusammenarbeit mit den Autoren der Erweiterungen konnten diese aber gelöst werden.

Sowohl in Firefox 1.0.3 als auch in Mozilla 1.7.7 soll eine Sicherheitslücke geschlossen worden sein, die es einem Angreifer erlaubte, Einblick in bestimmte Bereiche des Speichers zu erlangen. Zudem wurden in Firefox 1.0.3 weitere kleinere Sicherheitslöcher geschlossen sowie ein Fehler in den Sidebar-Lesezeichen von Firefox beseitigt. In der Windows-Variante von Firefox wurde der Fehler bereinigt, dass die Applikation mehrere Einträge im Bereich "Software" der Windows-Systemsteuerung hinterlässt.

Firefox 1.0.3 steht in deutscher Sprache für Windows, Linux und MacOS X zum Download bereit. Mozilla 1.7.7 ist ebenfalls mit deutscher Oberfläche für Windows, Linux und MacOS X zu haben. Neben den Komplettinstallationen stehen für Mozilla 1.7.7 zudem deutsche Sprachdateien für Windows, Linux, MacOS X und OS/2 bereit, falls man die Browser-Suite bereits in englischer Sprache installiert hat.

Quelle und Links : http://www.golem.de/0504/37635.html

[SiLæncer]

Das French Security Incident Response Team, früher bekannt als k-otik.com, hat einen Exploit für die aktuelle Version (1.0.3) von Firefox veröffentlicht, mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons (Firefox Extensions) durch bestimme JavaScripte. Dadurch kann eine Web-Seite Code im Chrome-Kontext ausführen -- ähnlich der lokalen Zone des Internet Explorers. Chrome-URLs dürfen quasi beliebig auf lokale Ressourcen zugreifen, lassen sich jedoch normalerweise aus Web-Seiten heraus nicht aufrufen. Aber bereits bei den zuletzt in Firefox und Mozilla aufgedeckten Sicherheitslücken zeigte sich, dass Angreifer diese Restriktionen leicht umgehen können.

Der nun aufgetauchte Proof-of-Concept-Exploit schreibt eine Batch-Datei auf das Laufwerk C: und startet sie anschließend. Dazu muss der Anwender nur irgendwo innerhalb des Firefox-Browser-Fensters klicken. Die Demo öffnet nur die Eingabeaufforderung, echter Schadcode hätte so etwa eine Backdoor oder einen Trojaner installieren können. Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript. Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren.

Die vorliegende Demo scheint aber nicht auf allen Systemen stabil zu funktionieren. Bei einem Test der heise-Security-Redaktion auf einem 64-Bit-System schlug die Demo unter Windows XP SP2 mit Firefox 1.0.3 fehl. Da der Fehler aber nach bisherigen Erkenntnissen nicht auf einem Buffer Overflow beruht, dürfte die "Data Execution Prevention" (DEP, Datenausführungverhinderung) nicht dafür verantwortlich sein. Auf einem 32-Bit-System mit Windows XP SP2 und Firefox 1.0.3 öffnete sich die Eingabeaufforderung, in Firefox 1.0.2 scheint der Fehler wiederum nicht enthalten zu sein.

Die Veröffentlichung des Exploits war eigentlich noch nicht geplant. Nach Angaben des Autors des Original-Exploits, Paul von Greyhat-Security, muss jemand seinen Server geknackt haben und den Code gestohlen haben. Nach heise Security vorliegenden Information ist die Original-Demo aber bereits seit mehreren Tagen im Internet erreichbar, die URL war allerdings nur wenigen Personen bekannt.

Quelle und Links : http://www.heise.de/newsticker/meldung/59374

[SiLæncer]

Offenbar hat die Mozilla Foundation mittlerweile ihren Add-on-Server modifiziert, sodass der Exploit nicht mehr funktioniert. Dieser missbraucht nämlich unter anderem die Installationsfunktionen für Erweiterungen, um Schadcode in den Rechner zu schleusen. Standardmäßig darf nur update.mozilla.org Add-ons installieren. Der Fehler im Browser selbst wird damit allerdings nicht beseitigt.

Quelle : www.heise.de

[Jürgen]

Dem möchte ich hinzufügen, dass ich im Falle von Übertragungs- oder ähnlichen Fehlern schon ganz vereinzelt chrome:... URLs gesehen habe, z.B. beim zu schnellen Aufrufen eines zweiten Downloads.
Hat zu nichts geführt, trotz des Erscheinens in der Adressleiste.
Die Installation von Software habe ich schon immer unterbunden, den üblichen Schutz ohnehin drauf. Auto-Updates oder schnell 'mal Plugins holen lassen gehen so natürlich nicht, will ich auch nicht. Sowas mache ich lieber kontrolliert von Hand.
Aktuelle 1.03 und JRE 1.5.0_03
Ich hoffe sehr, das wird zügig behoben!

[SiLæncer]

Nach Angaben von Dan Veditz, Leiter der Mozilla Security Group, will die Mozilla Foundation noch Anfang dieser Woche eine neue Version von Firefox veröffentlichen. Diese soll zwei Schwachstellen beseitigen, die in Kombination die am gestrigen Sonntag bekannt gewordene kritische Lücke ergeben. Ob in 1.0.4 auch weitere bislang nicht öffentlich bekannte Lücken gestopft sein werden, ist noch nicht klar. Jedenfalls dürfte das Beseitigen der Fehler den Zeitplan der Entwickler zur Herausgabe der Alpha-Version von 1.1 gehörig durcheinander bringen.

Bis zum Erscheinen von 1.0.4 haben sich die Entwickler zunächst damit beholfen, den vom neuen Exploit benutzten Server addons/update.mozilla.org zu modifizieren. Laut Veditz führt der Aufruf nun auf einen Server, der standardmäßig nicht in der Whitelist eingetragen ist. Der Exploit funktioniert dann nicht mehr.

Die von Paul geschriebene Demo beruht im wesentlichen auf Fehlern in der Verarbeitung von JavaScript und hat zum Ziel, Code in einer so genannten Chrome-Page auszuführen -- ähnlich der lokalen Zone im Internet Explorer. Dort laufen Skripte mit den vollen Rechten von Firefox und haben Zugriff auf alle Ressourcen -- sofern der Anwender als Administrator surft. Der Trick besteht darin, die Firefox-Funktion zum Installieren von Erweiterungen so zu missbrauchen, dass sie eine bestimmte Funktion (installTrigger.install) mit einem präparierten Parameter (IconURL) aufruft. Durch eine Lücke lassen sich Skripte so mit höheren Rechten ausführen. Der Exploit nutzt zudem eine weitere Schwachstelle in der History List, um JavaScripte in einem IFRAME in einem beliebigen Kontext auszuführen.

Dazu ruft der Exploit einmal ein Skript in einem IFRAME auf und navigiert anschließend zu update.mozilla.org, um das Skript ein zweites Mal zu starten und die Installationsfunktion auszuführen. Diesmal allerdings -- durch den Fehler in der History -- mit den Rechten von update.mozilla.org. Der nun angezeigte Installationsdialog enthält ein Bild/Icon, das auf ein weiteres JavaScript (IconURL) zeigt, das nach dem Laden in Firefox schließlich im Kontext Chrome läuft.

Quelle und Links : http://www.heise.de/newsticker/meldung/59390

[SiLæncer]

Die Mozilla-Foundation hat Firefox 1.0.4 und Mozilla 1.7.8 herausgegeben, in denen insgesamt vier kritische Sicherheitslücken beseitigt sind. Alle Lücken ermöglichen das Einschleusen und Ausführen von Schadcode, je nach Fehler ist dazu meist nur noch ein Klick des Anwenders innerhalb des Browser-Fensters notwendig. Firefox 1.0.4 liegt bereits auf Deutsch vor, während Mozilla 1.7.8 bislang auf Englisch erhältlich ist.

Unter anderem haben die Entwickler die zwei am vergangenen Wochenende veröffentlichten Fehler beseitigt, für die auch bereits ein Exploit kursierte. Ursprünglich war eine koordinierte Veröffentlichung der neuen Firefox- und Mozilla-Version zusammen mit der Fehlerbeschreibung und dem Exploit geplant. Allerdings wurde der Exploit-Code des Autors -- Paul von GreyHat -- von dessen Server gestohlen und auf diversen Seiten zum Download bereitgestellt. Um zumindest den Exploit unbrauchbar zu machen, modifizierte die Mozilla Foundation den Addon/Update-Server, der für einen erfolgreichen Angriff benutzt wurde.

Zudem sind nun zwei Schwachstellen behoben, die eigentlich schon durch die Versionen 1.0.3 von Firefox und 1.7.7 von Mozilla hätten erledigt sein sollen. Allerdings zeigte sich bei Tests von Michael Krax und Georgi Guninski, dass sich durch eine Variation des Exploit-Codes die Favicon-Lücke weiter ausnutzen lässt. So funktionierte eine neue Version der Firelinking-Demo von Krax durch den Einsatz von JavaScript-URLs wieder. Offenbar haben die Entwickler nur um den Exploit herum gepatcht, ohne das eigentliche Loch zu stopfen. Auch die DOM-Sicherheitslücke soll nun in den Browsern der Foundation durch weitere Sicherheitschecks vollständig geschlossen sein.

Dass sich die zwei älteren Lücken noch ausnutzen ließen, war immerhin einem eingeweihten Kreis seit Wochen bekannt, die ihre Entdeckung allerdings nicht veröffentlichten, sondern an die Entwickler meldeten. Glücklicherweise kam es in diesen Fällen nicht zu einem Informationsleck wie bei dem Exploit von Greyhat.

Ob die neue Version die Firelinking-Lücke auf dem eigenen System auch wirklich beseitigt, können Anwender mit dem neuen c't-Browsercheck "Installieren von Programmen über Link-Icons" auf heise Security überprüfen. Bei einem Test von Firefox 1.0.4 unter Windows XP mit Service Pack 2 funktionierte die Demo nicht mehr.

Ob und inwiefern auch Netscape von den zwei neuen Lücken betroffen ist, müssen weitere Tests zeigen. Zumindest die ältere DOM-Lücke und ein Fehler bei der Verarbeitung bestimmer GIF-Bilder finden sich auch dort.

Quelle und Links : http://www.heise.de/newsticker/meldung/59490

[SiLæncer]

Aktuelle Mozilla-Version behebt Sicherheitslücken

Nachdem am gestrigen 12. Mai 2005 einige Sicherheitslücken in Firefox und Mozilla behoben wurden, steht nun die Mozilla-Suite in der aktuellen Version 1.7.8 auch in deutscher Sprache für alle Plattformen zum Download bereit. Der aktuelle Firefox 1.0.4 erschien gestern bereits kurz nach der englischsprachigen Version auch in deutscher Ausführung.

Mozilla 1.7.8 erhält eine verbesserte Rechtekontrolle, die sicherstellen soll, dass JavaScript-Aktionen immer mit den zugewiesenen Rechten ausgeführt werden. Damit soll verhindert werden, dass Angreifer ihre Rechte per JavaScript ausweiten können. Eine ebenfalls nun geschlossene Sicherheitslücke erlaubte einem Angreifer über Favicons und JavaScript das Ausführen von Programmcode. Zudem hat das Mozilla-Team Fehler bei der DHTML-Ansicht behoben.

Außerdem wurde das Anfang der Woche in Firefox entdeckte Sicherheitsloch auch in Mozilla beseitigt, auch wenn die Browser-Suite davon nur teilweise betroffen ist.

Eine deutschsprachige Version von Mozilla 1.7.8 steht ab sofort für Windows, Linux und MacOS X kostenlos zum Download bereit. Da Netscape die gleiche Rendering-Engine wie Mozilla verwendet, dürften die Sicherheitslücken auch darin stecken, allerdings wurde das bislang weder bestätigt noch wurde ein Patch veröffentlicht.

Quelle und Links : http://www.golem.de/0505/38042.html

[SiLæncer]

Die Mozilla-Foundation hat Version 1.0.5 ihres Standalone-Webbrowsers Firefox herausgegeben. Wie schon Firefox 1.0.4 schließt die neue Ausgabe vor allem Sicherheitslücken. Dazu gehört unter anderem die erneut aufgetauchte Schwachstelle, um Anwendern im Browserfenster falsche Seiten unterzuschieben (siehe dazu den c't-Browsercheck Phishing mit Fenstern). Auch mehrere Schwachstellen, über die Angreifer beliebigen Code ausführen können, und beispielsweise das Problem mit untergeschobenen falschen JavaScript-Dialogboxen wurden in Firefox 1.0.5 korrigiert.

Details zu den korrigierten Sicherheitslücken beschreiben die Entwickler unter Known Vulnerabilities in Mozilla Products. Die Release-Notes geben nähere Auskunft über sonstige Neuerungen in Firefox 1.0.5, erwähnen über die Sicherheitsfixes hinaus aber nur "Verbesserungen bei der Stabilität" und eine Änderung in den Shortcuts unter Linux, die den GTK-Einstellungen entsprechen sollen. Zum Download liegt die neue Version von Firefox bislang in englischer Sprache vor, andere Landessprachen-Ausgaben sollten in Kürze ebenfalls verfügbar sein.

Außerdem haben die Mozilla-Entwickler Deer Park Alpha 2 veröffentlicht, eine weitere frühe Testversion von Firefox 1.1, die wie die erste Alpha-Version nicht für den normalen Einsatz gedacht ist. Vor allem Softwareentwickler, die beispielsweise Erweiterungen herstellen, sollen die neue Version testen, um Probleme herauszufinden. Die neue Alpha-Version bringt unter anderem ein Update-System, mit den neue Ausgaben des Browsers nicht immer komplett neu installiert werden müssen, und beispielsweise die Möglichkeit, im Browserfenster geöffnete Tabs mit Webseiten per Drag&Drop neu anzuordnen.

Quelle und Links : http://www.heise.de/newsticker/meldung/61631

[SiLæncer]

Für drei der mit dem aktuellen Update in der Websuite Mozilla 1.7.9 und dem Standalone-Webbrowser Firefox 1.0.5 behobenen Schwachstellen wurden bereits Demo-Exploits veröffentlicht. Zumindest zwei erschleichen sich die Privilegien des Chromes, also dem User-Interface des Browsers. Mit diesen Rechten ausgestattet, können sie unter anderem Dateien schreiben und ausführen. Allerdings funktionieren die bisher veröffentlichten Exploits nicht ohne Mitwirkung des Anwenders.

Die Firewalling-Demo stammt einmal mehr von Michael Krax und ähnelt dessen vorherigen Exploits in der Vorgehensweise: Sie schleust eine javascript:-URL in den Dialog "Set As Wallpaper" ein. Dieser Code kann dann erweiterte Privilegien anfordern.

Auch der Hacker mit dem Pseudonym moz_bug_r_a4 nutzt diesen Dialog. Allerdings ist in seinem Exploit der eigentliche Trick, in einem XHTML-Dokument ein speziell geformtes <IMG>-Element einzubauen, um damit die Sicherheitschecks zu umgehen und ebenfalls Chrome-Privilegien anzufordern.

Kohei Yoshino nutzt die Tatsache aus, dass man auch über data:-URLs JavaScript-Code in einen Link schreiben kann, dies aber im Gegensatz zu den javascript: an manchen Stellen nicht kontrolliert wird. So kann er in seiner Demo über die Sidebar Script-Code in andere, geöffnete Seiten einschleusen und damit zum Beispiel Cookies stehlen. Dies ist ein klassischer Cross-Site-Scripting-Angriff.

Mit den konzeptionellen Problemen in Mozilla & Co, die solche Lücken ermöglichen, befasst sich der Artikel "Löchrige Rüstung; Mozillas Sicheheitskonzept zeigt Lücken" in c't 14/05, S. 202. heise Security veröffentlicht eine englische Übersetzung des Artikels: Chrome-plated holes

Quelle und Links : http://www.heise.de/newsticker/meldung/61646

[SiLæncer]

Die neue Release 1.0.7 des beliebten Alternativ-Browsers Firefox stopft eine kritische Lücke in der Linux-Version und bessert weitere Fehler aus. Das Entwickler-Team rät zu einem umgehenden Update auf die neue Version des Browsers und stellt zugleich die englische Fassung bereit.

Durch die neu entdeckte Lücke in den Linux-Versionen des Browsers können beim Programmaufruf von Firefox mit einer URL als Parameter beliebige Befehle auf der Shell ausgeführt werden. Dieses Leck entsteht durch eine fehlerhafte Eingabeprüfung im aufgerufenen Script, wodurch mit "`" in die URL eingebettete Befehle ausgeführt werden. Beispielsweise Mail-Clients rufen Links in E-Mails derartig auf, sodass ein Angreifer mit präparierten Mails Schaden anrichten könnte.

Obendrein fixen die Mozilla-Entwickler die Lücke beim Parsen internationaler Domain-Namen -- also Internetadressen mit Umlauten und anderen internationalen Sonderzeichen --, für die es bisher nur einen Workaround gab.

Bis jetzt findet sich auf den Mozilla-Servern nur die englische Fassung der neuen Release, in Kürze sollte sich aber auch das Download-Verzeichnis für die übersetzten Versionen füllen.

Siehe dazu auch:

    * Changelog der Mozilla-Entwickler zu Firefox 1.0.7
    * Download-Verzeichnis für lokalisierte Firefox-1.0.7-Versionen
    * Meldung zur IDN-Lücke von heise Security
    * Bugzilla-Eintrag zum Linux-Kommandozeilen-Fehler in Firefox 1.0.6


Quelle und Links : http://www.heise.de/newsticker/meldung/64115

[Jürgen]

Seit kurzem ist die Windows-Version 1.07 auch auf Deutsch verfügbar.


p.s. got it