Firefox 1.0.7 schließt Sicherheitslücken

10. Oktober 2005, 14:39
15 Postings

Neue Version zum Download - Linux-Systeme besonders gefährdet - Problem mit Internationalen Domain-Namen

Die EntwicklerInnen des Mozilla-Projekts haben mit Firefox 1.0.7 eine neue Version ihres Browsers zum Download freigegeben. In dieser werden eine Reihe von Bugs und Sicherheitslücken beseitigt, ein Update ist insofern allen BenutzerInnen der Software dringend anzuraten.

Einschmuggeln

Besonders schwerwiegend dabei ein Fehler, der sich nur unter Linux und Unix-Systemen ausnutzen lässt: Auf diesen Systemen ist es externen Programmen möglich Shell-Kommandos in eine URL zu verpacken, die beim anklicken eines Links ausgeführt werden. So könnten AngreiferInnen z.B. ein manipuliertes Mail verschicken, wenn dann die UserInnen den entsprechenden Link anklicken und der Firefox als Default-Browser eingestellt ist, wird der versteckte Befehl ausgeführt. Auch wenn damit "nur" Befehle mit den Rechten der lokalen BenutzerInnen - und nicht mit Root-Rechten - ausgeführt werden können, kategorisiert der Sicherheitsdienstsdienstleister Secunia das Problem als "extrem kritisch", eine Wertung, die bisher noch keine Firefox-Lücke erhalten hat.

Einschmuggeln

Eine zweite Lücke betrifft das Handling von internationalen Domain-Namen (IDN), durch ein Problem bei diesem konnte gegen betroffene Systeme eine Denial-of-Service-Attacke durchgeführt werden. Die Lücke ist bereits vor einigen Tagen bekannt geworden, worauf die Mozilla-EntwicklerInnen umgehend mit einem temporären Fix, der die IDNs deaktivierte, reagiert haben, nun sollte deren Verwendung wieder problemlos möglich sein.

Crash

Weiters wurde mit Firefox 1.0.7 ein Crash im Proxy Auto-Config-System beseitigt, sowie ein Fix für Erweiterungs-AuthorInnen bereit gestellt. Weitere Informationen finden Sie in den Release Notes. Firefox 1.0.7 kann kostenlos in Versionen für Windows, Linux und Mac OS X von den Servern des Projekts heruntergeladen werden. (apo)

  • Artikelbild
    grafik: spreadfirefox.com
Share if you care.