Sicherheitslücken in Firefox, Thunderbird und Seamonkey geschlossen

Die insgesamt acht Schwachstellen, davon vier als kritisch eingestufte, reichen vom Popup-Blocker über gefälschte Zertifikate bis zu Speicherfehlern.

Gestern haben die Mozilla-Entwickler neue Versionen des Web-Browsers Firefox, des Mail-Programms Thunderbird und der Websuite Seamonkey bereit gestellt ( wir berichteten ). Firefox und Thunderbird sind jeweils in der Version 1.5.0.7 erhältlich, Seamonkey als Nachfolger der Mozilla Suite in der Version 1.0.5.

Die insgesamt acht beseitigten Sicherheitsmängel verteilen sich etwas unterschiedlich auf die drei Anwendungen (siehe Bild). Im Mozilla Security Center gibt es zu jeder Schwachstelle eine kurze Beschreibung, die unter der Bezeichnung "Mozilla Foundation Security Advisory" (MFSA) durchnummeriert sind.

MFSA-2006-57 (alle; kritisch):

Werden in Javascript reguläre Ausdrücke verwendet und "ungünstig" abgeschlossen, kann es zu einem Pufferüberlauf und in der Folge zum Absturz des Programms kommen. Möglicherweise kann darüber beliebiger Code eingeschleust und ausgeführt werden.

MFSA-2006-58 (Firefox, Thunderbird; moderat):

Das eingebaute automatische Update bezieht Aktualisierungen nur von einem Mozilla-Server, der sich durch ein gültiges SSL-Zertifikat ausweisen kann. Ein Angreifer könnte die Update-Funktion über DNS-Spoofing an einen anderen Server verweisen und ein gefälschtes Zertifikat einsetzen. Prüft ein Anwender das Zertifikat trotz Warnmeldung nicht sorgfältig genug, kann der Angreifer ihm ein beliebiges Programm als Firefox- oder Thunderbird-Update unterschieben.

MFSA-2006-59 (alle; kritisch):

Konkurrierende gleichzeitige Abläufe bei der Anzeige von Text können unter Umständen zum Programmabsturz führen. Dabei werden Speicherbereiche überschrieben, was theoretisch zum Einschleusen von Code genutzt werden könnte.

MFSA-2006-60 (alle; kritisch):

Ähnlich wie bei OpenSSL können auch den Mozilla-Programmen unerkannt gefälschte RSA-Zertifikate und Mail-Signaturen untergeschoben werden. Dies würde so genannte Man-in-the-Middle-Angriffe ermöglichen, die mit SSL/TLS eigentlich gerade verhindert werden sollen.

MFSA-2006-61 (Firefox, SeaMonkey; gering):

Durch eine Javascript-Anweisung (document.open) kann in eine Website mit Frames ein zusätzlicher Frame injiziert werden, der Besuchern als regulärer Teil der Seite erscheinen mag.