[Warning] Kritische Sicherheitslücken im Web-Browser Firefox

Robert Waldner waldner at cert.at
Wed Feb 4 11:46:22 CET 2009


04. Februar 2009


Kritische Sicherheitslücken im Web-Browser Firefox

   Angesichts der Schwere der Lücken und der hohen Anzahl an
   installierten Firefox-Browsern bittet CERT.at um Beachtung
   der folgenden Hinweise.


Beschreibung

   Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im
   Web-Browser Firefox, unter anderem:
    - Local File Stealing
    - Arbitrary Code Execution
    - Cookie Stealing
    - Privilege Escalation via .desktop Files


Auswirkungen

   Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen,
   sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen
   ausführen können, sind alle Daten auf diesen Systemen, sowie
   potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.)
   Daten und anderen Systeme gefährdet.


Betroffene Systeme

   Laut dem Advisory der Mozilla Foundation sind folgende Produkte und
   Versionen betroffen:

     * Firefox vor Version 3.0.6

   Vermutlich treffen diese Sicherheitslücken auch von Mozilla/Firefox
   abgeleitete Produkte wie Thunderbird und SeaMonkey - für diese stehen
   allerdings noch keine Updates zur Verfügung.


Abhilfe

  * Firefox: Update auf die aktuelle Version 3.0.6
  * Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte
    Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails
    aktiviert ist (diese Einstellung ist Default)


Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   installiert zu haben und den Virenschutz aktuell zu halten.

     __________________________________________________________________


Informationsquelle(n):

  * Meldungen der Mozilla Foundation:
    http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

  * Meldung auf Heise Security:
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855



mfg,
Robert Waldner
-- 
/  Robert Waldner  |  <waldner at cert.at>   \
\ T: +43 1 5056416 | http://www.cert.at/  /

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090204/9a6faa11/attachment.sig>


More information about the Warning mailing list