[Warning] Sicherheitslücken im Web-Browser Mozilla Firefox
L. Aaron Kaplan
kaplan at cert.at
Thu Mar 5 15:54:21 CET 2009
Sicherheitslücken im Web-Browser Mozilla Firefox
5. März 2009
Sicherheitslücken in Web-Browser Mozilla Firefox
Angesichts der Lücken und der hohen Anzahl an installierten
Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im
Web-Browser Firefox, unter anderem:
* URL spoofing with invisible control characters
* memory safety hazards in PNG library
* XML data theft via RDFXMLDataSource and cross-domain redirect
* Mozilla Firefox XUL Linked Clones Double Free Vulnerability
* MFSA 2009-07 Crashes with evidence of memory corruption
Auswirkungen
Die Auswirkungen dieser Bugs sind teilweise noch nicht bekannt,
speziell aber die Speicherprobleme könnten prinzipiell auch zum
Ausführen von von beliebigem Code benutzt werden. Mit URL-Spoofing
kann dem Anwender vorgetäuscht werden, sich auf einer vermeintlich
bekannten und sicheren Seite zu befinden.
Betroffene Systeme
Laut dem Advisory der Mozilla Foundation sind folgende Produkte und
Versionen betroffen:
* Firefox vor Version 3.0.7
Auch von Firefox abgeleitete Email-Programme wie Mozilla Thunderbird
sind von manchen der behobenen Bugs betroffen, sollten jedoch in der
Standard-Einstellung sicher sein.
Abhilfe
Update auf die aktuelle Version 3.0.7.
Hinweis
Generell empfiehlt CERT.at, wo möglichh die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
installiert zu haben und den Virenschutz aktuell zu halten.
_________________________________________________________________
Informationsquelle(n):
Advisory der Mozilla Foundation
[1]http://www.mozilla.com/en-US/firefox/3.0.7/releasenotes
Meldung des SANS Internet Storm Centers
[2]http://isc.sans.org/diary.html?storyid=5965
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090305/246935a1/attachment.sig>
More information about the Warning
mailing list