Software::Security
Sicherheitslücken bei Mozilla-Produkten
Gleich drei neue Sicherheitslücken haben Experten in den alten und neuen Versionen des Internet-Browsers Firefox, der Web-Suite Mozilla und des News-Readers Thunderbird gefunden.
Es ist hinlänglich bekannt, dass neue Versionen bestehender Applikationen nicht nur neue Funktionalität mit sich bringen, sondern auch Fehler beheben. Gleich mehrere Fehler haben Experten in den nicht mal so alten und teilweise in aktuellen Versionen von Mozilla, Firefox und Thunderbird gefunden. Leser unserer Sicherheitsrubrik werden es schon wissen.
Wie Jakob Balle von Secunia Research bekannt gab, können unseriöse Anbieter in der neuesten und in älteren Versionen von Firefox und Mozilla einen so genannten Phishing-Angriff durchführen. Durch eine nicht ausreichende Anzeige der zu herunterladenen Quelle ist es es möglich, die wahre Adresse eines Downloads zu verbergen. Zwar hat der Angriff keine direkte Auswirkung auf das System, Anbieter können aber durch falsche URLs unerwünschte Applikationen und Pakete einschleusen. Secunia bescheinigt der unter der Nummer SA13599 veröffentlichten Sicherheitslücke eine Gefährlichkeit von zwei von maximal fünf Punkten. Als temporäre Lösung rät das Unternehmen allen Nutzern, auf die Quelle des wirklichen Downloads zu achten und notfalls alle Downloads von suspekten Seiten zu unterbinden.
Einen weiteren Fehler gab Maurycy Prodeus bekannt. Wie Prodeus herausfand, können Angreifer news://-Links zu Newsgroups für einen möglichen Angriff nutzen. Eine zu lange URL führt zu einem Buffer Overflow und ermöglicht, schädlichen Code auszuführen. Die Mozilla Foundation hat den Fehler mit der Version 1.7.5 von Mozilla und 1.0 von Firefox beseitigt, spielte aber laut Prodeus die Gefährlichkeit des Problems herunter. Anhand eines kurzen Skripts will Prodeus die Mozilla-Entwickler eines Besseren belehren und rät unbedingt zu einem Update des Browsers auf eine neue Version.
Bereits früher kritisierten Sicherheitsexperten die temporäre Behandlung von Daten unter Firefox und Mozilla. Bei einem Rechner, den mehrere Personen nutzen, könnten diese Dateien von Unbefugten gelesen werden, heißt es nun in einer Meldung eines Nutzers von broadcast.ptraced.net. Demnach können Benutzer eines Systems unautorisiert die Anhänge oder heruntergeladene Dateien lesen. Wird eine Datei nicht gespeichert, sondern nur geöffnet, versieht Mozilla den Anhang mit Leserechten für alle und jeder, der Zugriff auf das /tmp-Verzeichnis hat, kann sie lesen. In den stabilen Versionen von Firefox 1.0 und Thunderbird 1.0 ist der Fehler bereits behoben. Auch hier empfiehlt sich ein Umstieg auf die stabilen Versionen.