Firefox 2.0.0.10 schließt Sicherheits- lücken und erzeugt neue Probleme

29. Jänner 2008, 11:25
16 Postings

Cross Site Scripting-Problem mit dem JAR-Protokoll soll der Vergangenheit angehören - Update führt aber zu neuem Bug in der Rendering Engine

Schneller als eigentlich geplant hat das Mozilla-Team nun eine neue Version seines Browser veröffentlicht: Firefox 2.0.0.10 soll wie gewohnt von stabilen Releases vor allem mit einigen Sicherheitslücken aufräumen, eine davon war bereits öffentlich bekannt und hat so die Dringlichkeit der Veröffentlichung des Updates erhöht.

Sensibel

Konkret geht es dabei um ein Problem bei der Verarbeitung des JAR-Protokoll. Aufgrund mangelnder Überprüfungen konnten so potentiell sensible Daten per Cross-Site-Scripting gestohlen werden. Die EntdeckerInnen der Lücke hatten dies mit der Kontaktliste von GMail demonstriert, die von anderen Seiten ausgelesen werden konnte, wenn die betreffende Person gerade auch gleichzeitig auf dem Webmail-Service eingeloggt war.

Referer

Davon abgesehen hat man aber noch zwei weitere Security Advisories im Zusammenhang mit Firefox 2.0.0.10 veröffentlicht: So ließ sich unter Umständen der Referer einer Seite manipulieren, was wiederum zum Auslesen von sensiblen Daten von Seiten genutzt werden konnte, die sich auf diese Informationen verlassen, um sich gegen Cross-site Request Forgery (CSRF)-Angriffe zu schützen.

Absturz

Die letzte Sicherheitsmeldung fasst drei behobene Abstürze zusammen, bei denen es in Folge unter Umständen möglich gewesen wäre, Code einzuschmuggeln. Weitere Informationen zu den Updates finden sich in den Release Notes zur neuen Version.

Download

Firefox 2.0.0.10 kann wie gewohnt in Versionen für Windows, Linux und Mac OS X von der Seite des Herstellers heruntergeladen werden. Zusätzlich sollte auch die Auto-Update-Funktion der Software die BenutzerInnen in den nächsten Tagen zur Aktualisierung auffordern.

Update, 12:45

Wie sich mittlerweile heraus gestellt hat, hat das Update auch einen unerwünschten Nebeneffekt: Die Funktion canvas.drawImage funktioniert mit Firefox 2.0.0.10 nicht mehr korrekt. Dadurch geben Seiten, die dies benutzen eine Fehlermeldung aus, wie sich auch an einer Testseite überprüfen lässt. Der Bug lässt sich sowohl unter Windows als auch bei Linux und Mac OS X nachweisen.

Ausblick

Entsprechend ist also wohl mit einem weiteren flotten Update zu rechnen. Bereits nach der Veröffentlichung der Version 2.0.0.8 hatte man mit ähnlichen Problemen zu kämpfen und wenige Tage später ein Bugfix-Update eingeschoben. (apo)

  • Bild nicht mehr verfügbar
Share if you care.