Aktuelle Firefox- und Mozilla-Versionen schließen mehrere Sicherheitslücken
Mit Firefox 1.0.4 wurde das bereits angekündigte Sicherheits-Update für den Browser veröffentlicht, womit ein Anfang der Woche entdecktes Sicherheitsloch in der Software beseitigt wird. Darüber hinaus wurden mit der aktuellen Version weitere Sicherheitslücken geschlossen, die auch in Mozilla zu finden sind, so dass für die Browser-Suite ebenfalls ein Update bereitsteht.
Im Zusammenspiel mit einem IFrame- und JavaScript-Sicherheitsleck können Angreifer in den bisherigen Firefox-Versionen beliebigen Programmcode auf fremde Systeme schleusen, indem eine Firefox-Erweiterung geladen wird. Da sich die Sicherheitslücke ausschließlich über den Download einer Firefox-Erweiterung ausnutzen lässt, besteht das Problem nur, wenn bestimmte Voraussetzungen erfüllt sind.
In einer Standardkonfiguration von Firefox ist der Download von Erweiterungen nur von Mozilla-Domains möglich, so dass Angriffe darüber unterbunden wurden, weil das Mozilla-Team unabhängig von der aktuellen Firefox-Version entsprechende Gegenmaßnahmen getroffen hat. Wer also keine anderen Domains in der betreffenden Whitelist eingetragen hat, ist auch mit alten Firefox-Versionen vor etwaigen Angriffen sicher. Schaltet man die Software-Installation in Firefox generell ab, sind solche Angriffe ausgeschlossen. Das Mozilla-Team empfiehlt eine zügige Einspielung der aktuellen Firefox-Version.
Von dem oben beschriebenen Sicherheitsproblem ist Mozilla nur teilweise betroffen. Zwei weitere Sicherheitslücken stecken aber sowohl in Firefox als auch in Mozilla. So erhalten beide Browser eine verbesserte Rechtekontrolle, die sicherstellen soll, dass JavaScript-Aktionen immer mit den zugewiesenen Rechten ausgeführt werden. Damit soll verhindert werden, dass Angreifer ihre Rechte per JavaScript ausweiten können. Eine weitere nun geschlossene Sicherheitslücke erlaubte einem Angreifer über Favicons und JavaScript das Ausführen von Programmcode. Zudem wurden Fehler bei der DHTML-Ansicht behoben.
Sowohl Firefox 1.0.4 als auch Mozilla 1.7.8 stehen jeweils für Windows, Linux und MacOS X in englischer Sprache zum Download bereit. Da Netscape die gleiche Rendering-Engine wie Mozilla und Firefox verwendet, dürften die Sicherheitslücken auch darin stecken, allerdings wurde das bislang nicht bestätigt und einen Patch existiert auch nicht.
Nachtrag vom 12. Mai 2005 um 10:57 Uhr:
Zumindest Firefox 1.0.4 steht seit wenigen Minuten auch in deutscher Sprache zum Download bereit unter: http://www.mozilla.org/