Firefox 3.0.14 und 3.5.4 beseitigt vier kritische Fehler
Firefox 3.0.14 und 3.5.4 beseitigt vier kritische Fehler
10.09.2009 - 16:22 SecurityMozilla hat Firefox 3.0.14 und 3.5.3 veröffentlicht, die mehrere kritische Sicherheitslücken der Vorgängerversionen schließen. Ein Fehler im FeedWriter ermöglicht es einem Angreifer, seinen JavaScript-Code im Browser des Opfers mit Chrome-Rechten auszuführen – also mit den höchsten Rechten. Zudem lässt sich ein Fehler in der Verwaltung der Spalten von XUL-Baumelementen zur Manipulation von Zeigern ausnutzen, mit denen sich eingeschmuggelter Code ausführen lässt. Dazu genügt der Besuch einer präparierten Webseite aus.
Darüber hinaus beseitigen die neuen Versionen insgesamt sieben möglicherweise ausnutzbare Speicherfehler, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen. Des Weiteren haben die Entwickler eine potenzielle Spoofing-Schwachstelle bei der Darstellung von URLs mit bestimmten Unicodes beseitigt. Version 3.0.14 korrigiert noch einen Fehler bei der Installation respektive Deinstallation von PKCS#11-Modulen zum Zugriff auf kryptografische Token. Offenbar waren die Dialoge nicht eindeutig genug, sodass ein Angreifer ein Opfer dazu bringen konnte, ein manipuliertes Modul zu installieren.
Fixed in Firefox 3.5.3
MFSA 2009-51 Chrome privilege escalation with FeedWriter
MFSA 2009-50 Location bar spoofing via tall line-height Unicode characters
MFSA 2009-49 TreeColumns dangling pointer vulnerability
MFSA 2009-47 Crashes with evidence of memory corruption (rv:1.9.1.3/1.9.0.14)
