Software16.12.2009, 11:02

Die Mozilla-Entwickler haben Version 3.5.6 ihres Browsers veröffentlicht, die zahlreiche Lücken beseitigt. Drei der Berichte beschreiben mehrere kritische Fehler in den Media-Bibliotheken libtheora (Video) und liboggplay (Audio) sowie in der Browser-Engine und der JavaScript-Engine.

Bei den meisten dieser Probleme hat man zwar nur Abstürze etwa aufgrund von Integer Overflows oder Speicherlecks beobachtet, die Entwickler schließen aber nicht aus, dass sich die Fehler auch zum Einschleusen und Ausführen von Code durch "Hacker"-Webseiten ausnutzen lässt.

Darüber hinaus behebt das Update mögliche Spoofing-Schwachstellen aufgrund der Manipulation des "document.location"-Objects sowie ein Problem in Zusammenhang mit der Authentifizierung auf Webseiten via NTLM. Abgesehen von den Problemen in den Media-Bibliotheken, die es erst seit der HTML- 5-Unterstützung in Version 3.5 gibt, finden sich alle Fehler auch in Firefox 3.0.x, sodass die Entwickler für diesen Zweig das Update 3.0.16 veröffentlicht haben.

Fixed in Firefox 3.5.6
MFSA 2009-71 GeckoActiveXObject exception messages can be used to enumerate installed COM objects
MFSA 2009-70 Privilege escalation via chrome window.opener
MFSA 2009-69 Location bar spoofing vulnerabilities
MFSA 2009-68 NTLM reflection vulnerability
MFSA 2009-67 Integer overflow, crash in libtheora video library
MFSA 2009-66 Memory safety fixes in liboggplay media library
MFSA 2009-65 Crashes with evidence of memory corruption (rv:1.9.1.6/ 1.9.0.16)

raid-rush