Software::Desktop
Firefox 16.0.1 schließt Sicherheitslücken
Zwei Tage nach Firefox 16 hat Mozilla die Version 16.0.1 freigegeben. Wegen einer schweren Sicherheitslücke hatte Mozilla die neue Version kurz nach der Veröffentlichung wieder zurückgezogen.
Mozilla Foundation
Die Freude über
Firefox 16 währte nicht lange. Nur wenige Stunden nach der Freigabe am 10. Oktober musste Mozilla die neue Version zurückziehen; die Besucher der Webseite bekamen wieder Version 15 zum Download angeboten.
Der Grund war eine Sicherheitslücke, die Michael Coates von Mozilla am 10. Oktober als Möglichkeit beschrieb, dass eine bösartige Webseite Zugriff auf die Browser-Historie erlangen könne. Er gab zudem an, keinen Hinweis darauf zu haben, dass ein solcher Angriff bereits implementiert sei.
Doch dieser vergleichsweise harmlose Fehler schien als Begründung für das Zurückziehen von Firefox 16 nicht ausreichend. Es musste offenbar mehr dahinter stecken.
Weniger als zwei Tage später hat Mozilla eine korrigierte Version 16.0.1 von Firefox veröffentlicht. Die aktualisierten Anmerkungen zur Veröffentlichung schweigen sich jedoch über die Details der korrigierten Probleme aus. Die Liste der Sicherheitsmeldungen für Firefox dagegen zeigt zwei Einträge für Firefox 16.0.1, von denen der erste zeigt, dass das Zurückziehen von Firefox 16 wohl notwendig war. Eine fehlende Sicherheitsprüfung konnte das gesamte Sicherheitsmodell von Firefox aushebeln. Ein Blog-Eintrag von Gareth Heyes beschreibt das Problem und gibt ein wenige Zeilen langes Beispiel, wie es sich ausnutzen lässt.
Die beiden Sicherheitsmeldungen von Mozilla zu Firefox 16.0.1 beschreiben insgesamt vier behobene Fehler, die jeweils eine separate CVE-Nummer erhalten haben. Die Details dieser Lücken sind allerdings nicht einsehbar. Eine der Lücken betrifft nur die Android-Version von Firefox.
){kind=logo}
