Sicherheitslücken in Firefox, Thunderbird und Seamonkey geschlossen
MFSA-2006-62 (Firefox; moderat):
Werden blockierte Popups nachträglich doch noch geöffnet, ist ein Angriff über Cross-Site Scripting denkbar. Um den Popup-Blocker von Firefox für einen erfolgreichen Angriff missbrauchen zu können, müssten allerdings mehrere Umstände zusammen kommen, inklusive der Mithilfe des Besuchers einer Website.
MFSA-2006-63 (Thunderbird, SeaMonkey; hoch):
Selbst bei deaktiviertem Javascript im Mail-Programm (das ist Voreinstellung) gibt es eine Möglichkeit Javascript auszuführen. Dazu wird der Code in einer externen XBL-Datei untergebracht, die beim Öffnen der Mail geladen wird, falls das Nachladen von Bildern aus dem Internet aktiviert ist.
MFSA-2006-64 (alle; kritisch):
Etliche kleinere Programmfehler können zum Überschreiben von Speicherbereichen mit anschließendem Programmabsturz führen. Die Mozilla-Entwickler gehen davon aus, dass zumindest der eine oder andere dieser Fehler zum Einschleusen von beliebigem Code ausgenutzt werden könnte, wenn man sich nur genug bemüht.
Insgesamt liefern die beseitigten Fehler Grund genug für ein umgehendes Update auf die neuen Programmversionen, auch wenn es noch keine öffentlich bekannten Exploits für die Sicherheitslücken gibt. In den Empfehlungen der Mozilla-Stiftung wird mehrfach betont, Javascript sollte im Mail-Programm ausgeschaltet bleiben. Anwender sollten ferner SSL-Zertifikate sorgfältig prüfen und Eigenbau-Zertifikate allenfalls für die aktuelle Sitzung akzeptieren. (PC-Welt/mja)
|
Links zum Thema IT-Sicherheit |
Angebot |
|---|---|
|
Bookshop |
|
|
eBooks (50 % Preisvorteil) |
|
|
Software-Shop |