[Warning] Sicherheitslücken im Web-Browser Mozilla Firefox

L. Aaron Kaplan kaplan at cert.at
Thu Mar 5 15:54:21 CET 2009


               Sicherheitslücken im Web-Browser Mozilla Firefox

   5. März 2009

   Sicherheitslücken in Web-Browser Mozilla Firefox

   Angesichts der Lücken und der hohen Anzahl an installierten
   Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

   Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im
   Web-Browser Firefox, unter anderem:
     * URL spoofing with invisible control characters
     * memory safety hazards in PNG library
     * XML data theft via RDFXMLDataSource and cross-domain redirect
     * Mozilla Firefox XUL Linked Clones Double Free Vulnerability
     * MFSA 2009-07 Crashes with evidence of memory corruption

Auswirkungen

   Die Auswirkungen dieser Bugs sind teilweise noch nicht bekannt,
   speziell aber die Speicherprobleme könnten prinzipiell auch zum
   Ausführen von von beliebigem Code benutzt werden. Mit URL-Spoofing
   kann dem Anwender vorgetäuscht werden, sich auf einer vermeintlich
   bekannten und sicheren Seite zu befinden.

Betroffene Systeme

   Laut dem Advisory der Mozilla Foundation sind folgende Produkte und
   Versionen betroffen:
     * Firefox vor Version 3.0.7

   Auch von Firefox abgeleitete Email-Programme wie Mozilla Thunderbird
   sind von manchen der behobenen Bugs betroffen, sollten jedoch in der
   Standard-Einstellung sicher sein.

Abhilfe

   Update auf die aktuelle Version 3.0.7.

Hinweis

   Generell empfiehlt CERT.at, wo möglichh die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   installiert zu haben und den Virenschutz aktuell zu halten.
     _________________________________________________________________

   Informationsquelle(n):
   Advisory der Mozilla Foundation
   [1]http://www.mozilla.com/en-US/firefox/3.0.7/releasenotes
   Meldung des SANS Internet Storm Centers
   [2]http://isc.sans.org/diary.html?storyid=5965



-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090305/246935a1/attachment.sig>


More information about the Warning mailing list