Mozilla schließt Sicherheitslücken in Firefox

Noch vor Firefox 3.5 RC1 stellen die Mozilla-Entickler ein Sicherheits-Update für die 3.0-Reihe bereit . Firefox 3.0.11 sollte an sich bereits am 4. Juni erscheinen. Der Termin musste jedoch verschoben werden, um einen an sich bereits beseitigten Fehler zu beheben, der sich wieder eingeschlichen hatte.

Die Mozilla-Entwickler haben mehrere Stabilitätsprobleme sowie von Anwendern gemeldete Fehler in der internen SQ-Lite Datenbank behoben. Außerdem haben sie einen Fehler beseitigt, der in manchen Fällen zur Beschädigung der Lesezeichen-Datenbank führen kann.

Der wesentliche Grund für die neue Version sind jedoch die behobenen Sicherheitslücken. Mozilla hat neun Sicherheitsmeldungen zu Firefox 3.0.11 veröffentlicht. Vier als kritisch eingestufte Schwachstellen könnten ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen.

Auch eine URL-Spoofing-Möglichkeit haben die Entwickler beseitigt. Mit Hilfe bestimmter Unicode-Zeichen, die als Leerzeichen in der Adressleiste erscheinen, könnte ein Angreifer Teile der URL in den nicht sichtbaren Bereich verschieben. So könnte er Besucher über die tatsächliche URL täuschen, sofern er einen so genannten internationalen Domain-Namen (IDN) verwendet, der Sonderzeichen wie etwa Umlaute enthält.

Einige der Sicherheitslücken betreffen auch die Web-Suite Seamonkey und Mozillas Mail-Programm Thunderbird. Für beiden sind noch keine neuen Versionen verfügbar. Thunderbird 2.0.0.22 ist für den 18. Juni angekündigt. (PC-Welt/mec)