Sicherheits-Updates für Firefox gegen Cross-Site-Scripting
Mozilla hat die Versionen 3.0.18 und 3.5.8 released, in denen 5 Sicherheitslücken geschlossen wurden. Drei der Lücken stufen die Entwickler als sehr kritisch ein, da ein Angreifer durch präparierte Webseiten die Kontrolle über den Rechner erlangen kann. Zwei der Lücken ermöglichen Cross-Site-Scripting-Angriffe und damit manipulierten Webseiten den Zugriff auf Inhalte im Browserfenster anderer Seiten.
Die Sicherheitslücken finden sich auch in SeaMonkey. Das Update auf Version 2.0.3 schließt dort die Fehler. Thunderbird ist abgesehen von den XSS-Lücken ebenfalls betroffen. Dort soll das Update 3.0.2 die Sicherheit wieder herstellen.
Fixed in Firefox 3.5.8
MFSA 2010-05 XSS hazard using SVG document and binary Content-Type
MFSA 2010-04 XSS due to window.dialogArguments being readable cross-domain
MFSA 2010-03 Use-after-free crash in HTML parser
MFSA 2010-02 Web Worker Array Handling Heap Corruption Vulnerability
MFSA 2010-01 Crashes with evidence of memory corruption (rv:1.9.1.8/ 1.9.0.18)
- Quelle: heise.de (Firefox Update)