Sicherheit
Mozilla schließt kritische Lücken in Firefox & Co
von
Thorsten
Eggeling - 11.01.2013
Die Mozilla-Entwickler haben die Version 18 von Firefox veröffentlicht. Damit schließen sie zahlreiche teils kritische Sicherheitslücken. Für Thunderbird und SeaMonkey gibt es ebenfalls Updates.
Das Open Source-Projekt Mozilla hat insgesamt 21 Advisories veröffentlicht, von denen zwölf "kritische" Sicherheitslücken in Firefox, Thunderbird und SeaMonkey beschreiben. Die Übrigen haben die Entwickler alle als "wichtig" eingestuft. Die Schwachstellen betreffen unter anderem auch mehrere Extended-Support-Releases.
Laut Beschreibung handelt es sich bei manchen kritischen Problemen um Use-after-free-Lücken. Angreifer können sie über das Internet ausnutzen, um Schadcode in das System einzuschleusen und mit den Rechten des Benutzers auszuführen. Die Fehler kommen zum Vorschein, wenn auf ein bereits gelöschtes oder fehlerhaft initialisiertes Speicherobjekt zugegriffen wird. Darüber hinaus können Angreifer den Rechner des Opfers zum Absturz bringen (Denial-of-Service), einen Cross-Site Scripting-Angriff durchführen, Sicherheitsfunktionen zu umgehen oder Informationen offenlegen. Zur erfolgreichen Ausnutzung dieser Sicherheitslücken muss der Angreifer den Nutzer dazu bringen, eine manipulierte E-Mail oder Webseite zu öffnen.
Darüber hinaus haben die Entwickler Firefox 18 insgesamt sicherer gemacht. Firefox kann von nun an unsichere Inhalte blockieren, die in HTTPS-geschützten Seiten enthalten sind. Da noch nicht ganz sicher ist, ob die Funktion unerwünschten Nebenwirkungen hat, ist sie standardmäßig abgeschaltet. Wenn Sie sie ausprobieren möchten, rufen Sie über die Adresszeile „about:config“ auf. Setzen Sie anschließend die Werte
security.mixed_content.block_active_content
security.mixed_content.block_display_content
security.warn_viewing_mixed
security.warn_viewing_mixed.show_once
security.mixed_content.block_display_content
security.warn_viewing_mixed
security.warn_viewing_mixed.show_once
per Doppelklick jeweils auf "true".
Weiter hat das Unternehmen auf die Panne beim türkischen Zertifikat-Herausgeber TürkTrust reagiert, der versehentlich Zertifikate weitergeben hat, die zur beliebigen Vergabe neuer Zertifikate ermächtigen. Diesen SSL-Zertifikaten hat Mozilla das Vertrauen entzogen.
Laut Release Notes und dem Blog-Eintrag Phishing and malware protection arrives on mobile devices gibt es auch Neuerungen bei der Android-Version von Firefox. Demnach stattet Mozilla als erster seinen mobilen Browser mit „Safe Browsing“ aus. Mit dieser Funktion sollen Datenschutz und Sicherheit bei mobilen Geräten deutlich erhöht werden. Dahinter steckt eine Liste mit gefährlichen Websites auf Basis der Google SafeBrowsing-Datenbank, die regelmäßig aktualisiert wird. Besucht der Nutzer eine Site von der Liste, erhält er eine Warnmeldung.
Das sind die aktuellen Versionen
Firefox 18.0, Firefox Extended Support Release (ESR) 17.0.2, Firefox ESR 10.0.12. Thunderbird 17.0.2, Thunderbird ESR 17.0.2, Thunderbird ESR 10.0.12 und SeaMonkey 2.15.
Firefox 18.0, Firefox Extended Support Release (ESR) 17.0.2, Firefox ESR 10.0.12. Thunderbird 17.0.2, Thunderbird ESR 17.0.2, Thunderbird ESR 10.0.12 und SeaMonkey 2.15.
Welche Version von Firefox 18 installiert ist, erfahren Sie über das Menü "Hilfe, Über Firefox". Beim Aufruf wird der Update-Prozess manuell angestoßen. Da Mozilla Thunderbird momentan nicht weiterentwickelt, liefert das Unternehmen hier nur Sicherheitsupdates. Aus diesem Grund sind die Versionsnummer der aktuellen Version und der Extended-Support-Release identisch.
