Mozilla schiebt Firefox 3.6.8 nach

Am Abend des 20. Juli hat Mozilla, Hersteller von Firefox, Sicherheits-Updates für Firefox, Seamonkey und Thunderbird bereit gestellt, um 14 Sicherheitslücken zu schließen. Dabei ist den Entwicklern offenbar ein Fehler unterlaufen, der zu einer ausnutzbaren Schwachstelle in Firefox 3.6.7 geführt hat. Die kurzfristig nachgeschobene Version Firefox 3.6.8 behebt das Problem.

In Firefox 3.6.7 hatten die Entwickler eine als kritisch eingestufte Sicherheitslücke beim Umgang mit Web-Seiten, die Plug-ins nutzen, gestopft (MFSA 2010-37). Dabei ist ihnen allerdings ein Fehler unterlaufen. Das hat dazu geführt, dass eine neue Sicherheitslücke entstanden ist, die ihrerseits als kritisch angesehen wird (MFSA 2010-48), weil sie das Ausführen von eingeschleustem Code ermöglichen könnte. Daher hat Mozilla schnell Firefox 3.6.8 veröffentlicht, um das Problem zu beheben.

Im Grund ist zwar auch Firefox 3.5.11, das ebenfalls am 20. Juli erschienen ist, von dem Fehler betroffen. Doch in diesem Versionszweig führt der Fehler nicht zu einer ausnutzbaren Sicherheitslücke. Eine Update für diese Version ist deshalb nicht vorgesehen.

Bereits im Juni musste Mozilla ähnlich schnell nachbessern. Der mit Firefox 3.6.4 eingeführte Absturzschutz für Plug-ins ("Projekt Lorentz") wurde mit einem viel zu knapp voreingestellten Timeout-Wert ausgeliefert. Im wenige Tage darauf bereit gestellten Firefox 3.6.6 haben die Entwickler einen deutlich großzügigeren Wert eingestellt, eine Version 3.6.5 hat es nie gegeben. (PC-Welt/cvi)