Mozilla veröffentlicht Firefox 1.01

Mehr Stabilität und die Beseitigung von Sicherheitsproblemen verspricht das Update des Firefox-Browsers auf Version 1.01.

Zu den Bugs, die laut den Mozilla-Entwicklern in Firefox 1.01 repariert sind, zählt das Auslesen von privaten Daten mittels Javascript über die Live-Bookmarks. Auch das Problem, dass Downloads scriptgesteuert ohne Nachfrage beim Benutzer gestartet werden konnten, ist behoben.

Bei Firefox 1.01 haben die Entwickler zudem Vorkehrungen getroffen, um mögliche Phishing-Attacken über die IDN-(Internationalized Domain Names)-Implementierung zu verhindern. Die Lücke tritt auf, weil in internationalen Domains Zeichen enthalten sind, wie beispielsweise das französische "é", das mit dem lateinischen "e" verwechselt werden kann. Die IDN-Schwachstelle lässt sich ausnutzen, um eine Webseite gegen eine andere auszutauschen. Der Angreifer muss dazu vorab eine Domain mit internationalen Zeichen registrieren, die gängigen Zeichen ähneln.

Punycode: Ob bei internationalen Domains Punycode dargestellt wird oder nicht, kann in der Konfigurationsdatei des Browsers eingestellt werden.

Sicherheitsexperte Secunia hat dazu einen Test mit der URL paypal.com veröffentlich, bei dem der Buchstabe "a" mit einem kyrillischen Buchstaben ersetzt wurde. Das Problem wird umgangen, indem die URL mit dem Update als Punycode angezeigt wird, was den Trick entlarvt. Die Punycode-Kodierung wird zur Umwandlung in den ASCII-Code verwendet. Die Version 1.01 besteht dann auch den Secunia-Test. Weitere Informationen finden Sie in den Release Notes.

(weiter auf der nächsten Seite)