Mozilla-Updates

Firefox 36 beseitigt 18 Sicherheitslücken

Mozilla hat Firefox 36.0 und Thunderbird 31.5 veröffentlicht. In Firefox haben die Entwickler etliche Sicherheitslücken beseitigt, von denen einige auch Thunderbird betreffen.

Mit der neuen Firefox-Version 36.0 unterstützt Mozilla nun auch den kommenden Standard HTTP/2 für schnellere Datenübertragung. Entfallen ist hingegen die Unterstützung für das schon lange als nicht mehr sicher geltende Verschlüsselungsverfahren RC4. Diese und weitere Neuerungen in Firefox 36 hatten wir Ihnen bereits gestern vorgestellt.

Zu den in Firefox gestopften Lücken hat Mozilla 17 Sicherheitsmeldungen veröffentlicht. Fünf der darin beschriebenen Schwachstellen betreffen auch Firefox ESR (Extended Support Release), das nun in Version 31.5 erhältlich ist, sowie das Mail-Programm Thunderbird, das aktuell die gleiche Versionsnummer trägt.Die Lücken betreffen auch die Websuite Seamonkey, die jedoch noch nicht in einer neuen Version verfügbar ist.

Firefox 36 beseitigt 18 Sicherheitslücken.
Firefox 36 beseitigt 18 Sicherheitslücken.

Vier Schwachstellen stuft Mozilla als kritisch ein. Eine nicht näher bezifferte Anzahl Speicherfehler ist in der Sicherheitsmeldung MFSA2015-11 beschrieben und auf zwei CVE-Nummern (Common Vulnerability Enumeration) verteilt. Eine gilt nur für Firefox 36 und die andere auch für Firefox ESR 31.5. Diese Lücken könnten zumindest teilweise ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen.

Ebenfalls als kritisch gelten Schwachstellen in IndexedDB sowie in der Programmbibliothek "libstagefright". In Letzterer kann mit einem speziell präparierten MP4-Video ein Pufferüberlauf provoziert werden. Dies würde zu einem ausnutzbaren Crash führen. Das gilt auch für die "Use-after-free"-Lücke beim Erzeugen eines Index mittels IndexedDB.

Einmal mehr ist auch im Mozilla Updater eine ausnutzbare Schwachstelle beseitigt worden. Wird dieser direkt aufgerufen, also nicht über den Windows-Dienst "Mozilla Maintenance Service", lädt er lokale DLLs. Dadurch könnten schädliche Programmbibliotheken mit erhöhten Rechten ausgeführt werden, falls der Benutzer den Warndialog der Benutzerkontensteuerung (ab Windows Vista) abnickt. Linux- und Mac-Rechner sind davon nicht betroffen.

In absehbarer Zukunft soll Firefox Web-Inhalte und Erweiterungen (Add-ons) in separaten Prozessen ausführen (Projektname "Electrolysis", e10s). Das bedeutet, Addon-Entwickler müssen ihre Erweiterungen anpassen, da diese nicht mehr direkt auf Inhalte zugreifen können. Nach derzeitiger Planung soll diese Trennung Ende 2015 in Firefox Einzug halten. (PC Welt/mje)