Firefox 3.5.2 und 3.0.13 Security Update
Die Mozilla Foundation hat neue Versionen ihres Firefox-Browsers vorgelegt, die im 3.5er-Zweig vier und im 3.0er-Zweig drei Sicherheitslücken beseitigen. Unter anderem kann ein Angreifer JavaScript mit den höchsten Rechten (Chrome) im Browser ausführen. Zudem deuten Abstürze in bestimmten Situationen auf möglicherwiese ausnutzbare Speicherfehler hin, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen.
Darüber hinaus nehmen die Updates Betrügern eine Möglichkeit, mit Funktionsaufrufen von window.open auf ungültige URLs und anschließendem document.write eine manipulierte Webseite als SSL-geschützt anzuzeigen. Phisher könnten dies zum Klau von Daten missbrauchen. Außerdem beseitigen die aktuellen Versionen des Webbrowsers einen Fehler bei der Verarbeitung von SOCKS5-Anworten mit mehr als 15 Zeichen langen DNS-Namen.
August 3, 2009
MFSA 2009-46 Chrome privilege escalation due to incorrectly cached wrapper
MFSA 2009-45 Crashes with evidence of memory corruption (rv:1.9.1.2/1.9.0.13)
MFSA 2009-44 Location bar and SSL indicator spoofing via window.open() on invalid URL
MFSA 2009-38 Data corruption with SOCKS5 reply containing DNS name longer than 15 characters
August 1, 2009
MFSA 2009-43 Heap overflow in certificate regexp parsing
MFSA 2009-42 Compromise of SSL-protected communication
Nachträglich hat die Foundation Fehlerbeschreibungen zu zwei längst in Firefox 3.5 geschlossenen Schwachstellen in Zusammenhang mit der Verarbeitung von SSL-Zertifikarten veröffentlich, die indes im Firefox 3.0.x weiter offen sind – und es wohl noch bleiben. Details zu den Lücken hatte Moxie Marlinspike auf seinem kürzlich gehaltenem Black-Hat-Vortrag enthüllt. Durch das Einfügen von Nullzeichen in Zertifikaten denken viele Browser, dass etwa das auf www.paypal.com\0.thoughtcrime.org ausgestellte Zertifikat zu www.paypal.com gehört. Der Mozilla-Fehlerbericht weist darauf hin, dass sich auf diese Weise auch der gesicherte Update-Mechanismus von Firefox aufbrechen ließe. Ein Update-Angriffstool wurde auf der Black Hat bereits vorgestellt.
- Quelle: heise.de (Firefox Update)