Neue Versionen von Mozilla und Firefox schließen Lücken

Zwei der entdeckten Lücken wurden von Sicherheitsexperten als hochkritisch eingestuft. Eine Schwachstelle in der Bibliothek libpng zur Verarbeitung von PNG-Dateien erlaube es Angreifern, einen Systemzugriff oder eine DoS-Attacke durchzuführen, wir berichteten.

Ahnungslose Benutzer konnten beispielsweise dazu verleitet werden, eine manipulierte Website zu besuchen oder eine präparierte E-Mail zu öffnen. Durch speziell präparierte PNG-Dateien sei es zudem möglich, einen Stack-basierten Pufferüberlauf zu erzeugen. Bestätigt wurde die Lücke für Mozilla 0.x bis 1.7.x, Firefox 0.x sowie Tunderbird 0.x. Da libpng Bestandteil aller gängigen Linux-Distributionen ist, sind auch diese, wie bereits am Donnerstag bekannt wurde, betroffen. Mehr zur libpng-Lücke dazu lesen Sie in diesem Security Report.

Mit den Updates sei zudem ein ebenfalls als hochkritisch eingestufter Fehler im Umgang mit SSL-Zertifikaten und -Verbindungen bereinigt worden, der bei gelungenem Angriff das Überschreiben von SSL-Zertifikaten und damit das Anzeigen manipulierter Inhalte beim Aufruf SSL-verschlüsselter Webseiten erlaubte. Zudem sei es unter Umständen per Javascript möglich gewesen, das Symbol für das Bestehen einer SSL-Verbindung, auch bei nicht SSL-gesicherten Verbindungen, anzuzeigen. Mozillas Bug-Report zufolge habe schließlich eine dritte, die Behandlung von präparierten Dateinamen betreffende Lücke, die Ausfühung von Code erlaubt.

Mozilla 1.7.2 und Firefox 0.9.3 sowie Thunderbird 0.7.3 stehen zum Download in deutscher Sprache bereit. Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (bsc)