Login
Login-Name Passwort


 
Newsletter
Werbung

Fr, 7. Januar 2005, 18:45

Software::Security

Sicherheitslücken bei Mozilla-Produkten

Gleich drei neue Sicherheitslücken haben Experten in den alten und neuen Versionen des Internet-Browsers Firefox, der Web-Suite Mozilla und des News-Readers Thunderbird gefunden.

Es ist hinlänglich bekannt, dass neue Versionen bestehender Applikationen nicht nur neue Funktionalität mit sich bringen, sondern auch Fehler beheben. Gleich mehrere Fehler haben Experten in den nicht mal so alten und teilweise in aktuellen Versionen von Mozilla, Firefox und Thunderbird gefunden. Leser unserer Sicherheitsrubrik werden es schon wissen.

Wie Jakob Balle von Secunia Research bekannt gab, können unseriöse Anbieter in der neuesten und in älteren Versionen von Firefox und Mozilla einen so genannten Phishing-Angriff durchführen. Durch eine nicht ausreichende Anzeige der zu herunterladenen Quelle ist es es möglich, die wahre Adresse eines Downloads zu verbergen. Zwar hat der Angriff keine direkte Auswirkung auf das System, Anbieter können aber durch falsche URLs unerwünschte Applikationen und Pakete einschleusen. Secunia bescheinigt der unter der Nummer SA13599 veröffentlichten Sicherheitslücke eine Gefährlichkeit von zwei von maximal fünf Punkten. Als temporäre Lösung rät das Unternehmen allen Nutzern, auf die Quelle des wirklichen Downloads zu achten und notfalls alle Downloads von suspekten Seiten zu unterbinden.

Einen weiteren Fehler gab Maurycy Prodeus bekannt. Wie Prodeus herausfand, können Angreifer news://-Links zu Newsgroups für einen möglichen Angriff nutzen. Eine zu lange URL führt zu einem Buffer Overflow und ermöglicht, schädlichen Code auszuführen. Die Mozilla Foundation hat den Fehler mit der Version 1.7.5 von Mozilla und 1.0 von Firefox beseitigt, spielte aber laut Prodeus die Gefährlichkeit des Problems herunter. Anhand eines kurzen Skripts will Prodeus die Mozilla-Entwickler eines Besseren belehren und rät unbedingt zu einem Update des Browsers auf eine neue Version.

Bereits früher kritisierten Sicherheitsexperten die temporäre Behandlung von Daten unter Firefox und Mozilla. Bei einem Rechner, den mehrere Personen nutzen, könnten diese Dateien von Unbefugten gelesen werden, heißt es nun in einer Meldung eines Nutzers von broadcast.ptraced.net. Demnach können Benutzer eines Systems unautorisiert die Anhänge oder heruntergeladene Dateien lesen. Wird eine Datei nicht gespeichert, sondern nur geöffnet, versieht Mozilla den Anhang mit Leserechten für alle und jeder, der Zugriff auf das /tmp-Verzeichnis hat, kann sie lesen. In den stabilen Versionen von Firefox 1.0 und Thunderbird 1.0 ist der Fehler bereits behoben. Auch hier empfiehlt sich ein Umstieg auf die stabilen Versionen.

Werbung
Kommentare (Insgesamt: 38 || Alle anzeigen || Kommentieren )
Re[2]: Problem von Mozilla? (Argh, Mo, 10. Januar 2005)
Re: Problem von Mozilla? (Das Betriebssystem ist nicht i, Mo, 10. Januar 2005)
Problem von Mozilla? (Ben, So, 9. Januar 2005)
Re: Das Mozilla Development hat ein Problem... (Nobody, So, 9. Januar 2005)
Re: Und was ist die Moral von der Geschicht? (Nobody, So, 9. Januar 2005)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung