[Warning] Kritische Sicherheitslücken im Web-Browser Firefox
Robert Waldner
waldner at cert.at
Wed Feb 4 11:46:22 CET 2009
04. Februar 2009
Kritische Sicherheitslücken im Web-Browser Firefox
Angesichts der Schwere der Lücken und der hohen Anzahl an
installierten Firefox-Browsern bittet CERT.at um Beachtung
der folgenden Hinweise.
Beschreibung
Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im
Web-Browser Firefox, unter anderem:
- Local File Stealing
- Arbitrary Code Execution
- Cookie Stealing
- Privilege Escalation via .desktop Files
Auswirkungen
Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen,
sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen
ausführen können, sind alle Daten auf diesen Systemen, sowie
potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.)
Daten und anderen Systeme gefährdet.
Betroffene Systeme
Laut dem Advisory der Mozilla Foundation sind folgende Produkte und
Versionen betroffen:
* Firefox vor Version 3.0.6
Vermutlich treffen diese Sicherheitslücken auch von Mozilla/Firefox
abgeleitete Produkte wie Thunderbird und SeaMonkey - für diese stehen
allerdings noch keine Updates zur Verfügung.
Abhilfe
* Firefox: Update auf die aktuelle Version 3.0.6
* Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte
Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails
aktiviert ist (diese Einstellung ist Default)
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
installiert zu haben und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
* Meldungen der Mozilla Foundation:
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
* Meldung auf Heise Security:
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855
mfg,
Robert Waldner
--
/ Robert Waldner | <waldner at cert.at> \
\ T: +43 1 5056416 | http://www.cert.at/ /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090204/9a6faa11/attachment.sig>
More information about the Warning
mailing list