Firefox 24, Thunderbird 24

Mozilla schließt Lücken in Firefox und Thunderbird

In Firefox 24 haben die Mozilla-Entwickler insgesamt 20 Schwachstellen beseitigt. Die meisten Lücken betreffen auch Thunderbird sowie Seamonkey und sind deren aktuellen Versionen ebenfalls beseitigt.

In den im Sechs-Wochen-Rhythmus erscheinenden neuen Firefox-Hauptversionen beseitigen die Mozilla-Entwickler stets auch einige Sicherheitslücken. Die Liste der in Firefox 24.0 gestopften Lücken fällt etwas länger aus als bei den Vorgängern. In 17 Sicherheitsmeldungen dokumentieren die Entwickler 20 beseitigte Schwachstellen. Knapp die Hälfte dieser Lücken sind als kritisch eingestuft.

Die als kritisch angesehenen Schwachstellen sind meist Pufferüberläufe oder so genannte "Use-after-free"-Lücken. Sie können unter bestimmten Umständen ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Ein solcher Fehler steckte zum Beispiel in der Programmbibliothek "Almost Native Graphics Layer Engine" (ANGLE). Hier fehlte eine ausreichende Prüfung des Speicherbedarfs, sodass Web-Inhalte mit Hilfe der Funktion drawLineLoop angrenzende Speicherbereiche überschreiben könnten.

Als weniger problematisch, da nicht aus der Ferne ausnutzbar, sehen die Mozilla-Entwickler einen Fehler im Mozilla Updater an. Dieser versäumt es die benutzte MAR-Datei (Mozilla-ARchive) für Schreibzugriffe zu sperren, nachdem er die Signatur als gültig verifiziert hat. Das bedeutet, dass ein Angreifer mit Zugriff auf das lokale Dateisystem diese Datei manipulieren oder ersetzen könnte, nachdem sie überprüft wurde. Er könnte so Code mit den gleichen Rechten ausführen wie der Updater.

Zwei Schwachstellen betreffen nur Firefox für Android. In Thunderbird 24 und Seamonkey 2.21 sind alle Lücken, soweit sie auch diese Programme betreffen, ebenfalls geschlossen worden. Während Firefox ESR (Extended Support Release) bereits bei Version 24.0 angekommen ist, hat Mozilla für Thunderbird die ESR-Version 17.0.9 bereit gestellt. Die für den Unternehmenseinsatz gedachten ESR-Versionen werden ein Jahr lang nur mit Sicherheits-Updates versorgt, ohne dass neue Funktionen aus den weiterentwickelten Standardversionen einfließen. (PC Welt/mje)