Thema: Mozilla Foundation stopft Sicherheitslücken in Mozilla, Firefox und Thunderbird

[Jürgen]

Die Mozilla Foundation hat viele der im Rahmen der Projekts entwickelten Programme aktualisiert und dabei zahlreiche, teils kritische Sicherheitslücken geschlossen. Einige der aktualisierten Versionen bringen auch Detailverbesserungen mit.
Anzeige

So korrigiert die Version 1.5.0.2 des Webbrowsers Firefox insgesamt sieben Sicherheitslücken – fünf davon stufen die Entwickler als kritische Lücken ein, durch die ein Angreifer dem Anwender schon beim einfachen Besuch einer präparierten Webseite eigenen Code zur Ausführung unterzuschieben vermag. Darüber hinaus wollen die Entwickler bei der neuen Firefox-Version die allgemeine Stabilität verbessert haben.
-/-
Von Thunderbird oder der Mozilla Suite finden sich bisher keine aktualisierte Versionen auf der Mozilla-Homepage – in der Detail-Ansicht zu einigen der bei den anderen Programmen beseitigten Sicherheitslücken spricht die Mozilla-Foundation aber bereits davon, das die Probleme in Mozilla 1.7.13 sowie Thunderbird 1.5.0.2 und 1.0.8 korrigiert seien – die Updates dürften daher in Kürze zu erwarten sein.

Für Firefox 1.0.x, Thunderbird 1.0.x sowie die Mozilla Suite 1.7.x sind es laut einer Ankündigung wohl die letzten Aktualisierungen. Den Anwendern der Programme empfiehlt die Mozilla Foundation dringlich, auf die aktuellen Versionen von Firefox und Thunderbird 1.5 zu wechseln.
-/-
(thl/c't) Der ganze Artikel mit Links

Quelle: www.heise.de

[SiLæncer]

Thunderbird 1.5.0.4 als Universal Binary für MacOS X zu haben

Für die drei Mozilla-Applikationen Firefox 1.5.x, Thunderbird 1.5.x sowie die Browser-Suite SeaMonkey 1.x stehen ab sofort Patches bereit, um verschiedene darin befindliche Sicherheitslecks zu schließen. Firefox 1.5.0.4 beseitigt insgesamt 12 Sicherheitslecks, wovon immerhin 5 Lücken als kritisch eingestuft werden. Thunderbird 1.5.0.4 korrigiert 8 Sicherheitslöcher, allerdings trägt hier nur eines die Gefahrenstufe kritisch.

Fünf der zwölf Sicherheitslücken in Firefox betreffen ausschließlich den Browser, während die übrigen Sicherheitslecks sowohl in Firefox als auch in Thunderbird stecken. Ein als kritisch bewertetes Sicherheitsloch im "nsISelectionPrivate"-Interface erlaubt einem Angreifer das Ausführen von Schadcode über entsprechend präparierte Webseiten und soll außer in Firefox auch SeaMonkey betreffen. Beim nachträglichen Installieren fehlender Browser-Plug-Ins sorgt ein Fehler dafür, dass Angreifer beliebigen JavaScript-Code ausführen können.

Eine Cross-Site-Scripting-Attacke ist nur mit der Windows-Version von Firefox möglich, indem ein defekter Bild-Link auf eine Webseite gestellt und der Nutzer zum Aufruf der Funktion "Bild anzeigen" gebracht wird. Ebenfalls über einen kaputten Bild-Link und die Bild-anzeigen-Funktion lassen sich lokale Daten abgreifen und ausspionieren. Zudem sorgt ein Fehler bei der Verarbeitung von Texteingabefeldern dafür, dass ein Angreifer auf Dateien auf dem lokalen Rechner zugreifen kann.

Die nachfolgenden Sicherheitslücken in Firefox und Thunderbird werden von den Entwicklern unterschiedlich gefährlich bewertet. Demnach stellen die vier folgenden Sicherheitslecks in Firefox ein größeres Risiko dar als in Thunderbird. Ein Buffer Overflow in der Funktion crypto.signText() erlaubt einem Angreifer die Ausführung von Schadcode, was auch bei der fehlerhaften Verarbeitung von XUL-Attributen mit einer falsch verknüpften URL passiert. Ein Fehler in der Funktion der "Object Prototypes" erlaubt ebenfalls eine weit reichende Kontrolle über ein fremdes System und die Entwickler haben verschiedene Fehler korrigiert, die eine Speicherbeschädigung nach sich ziehen konnten.

Cross-Site-Scripting-Angriffe und eine Rechteausweitung zieht ein Unicode-Fehler in Firefox und Thunderbird nach sich. Ebenfalls eine Rechteausweitung verschafft sich ein Angreifer durch den Einsatz von JavaScript-Code per "EvalInSandbox" und kann so aus der Sandbox ausbrechen. Bei Einsatz von Proxy-Servern werden HTTP-Header nicht korrekt verarbeitet, so dass Angreifer schadhafte HTTP-Antworten einschmuggeln können.

Ein weiteres Sicherheitsloch in Thunderbird wurde gleichfalls für SeaMonkey bestätigt. Über eine manipulierte vCard-Datei kann ein Angreifer schadhafte Befehle ausführen. Mit der Version 1.5.0.4 von Thunderbird steht der E-Mail-Client für MacOS X auch als Universal Binary bereit, um nun direkt auf Intel-Macs zu laufen. In allen drei Mozilla-Applikationen soll außerdem die Zuverlässigkeit und Stabilität der Software verbessert worden sein.

Firefox 1.5.0.4, Thunderbird 1.5.0.4 sowie SeaMonkey 1.0.2 stehen ab sofort für die Plattformen Windows, Linux und MacOS X unter anderem in deutscher Sprache zum Download bereit. Für Firefox steht der Patch in einer inkrementellen Version bereit, die über die Update-Funktion des Browsers eingespielt werden kann.

Quelle und Links : http://www.golem.de/0606/45692.html

[SiLæncer]

Gerade erst aktualisierte die Mozilla-Foundation die Roadmap für Version 2.0 des E-Mail-Clients Thunderbird, verschob das Release ins nächste Jahr und versprach, derweil einige Bugfix-Releases für die 1.5x-Serie herauszugeben – und nun liegt bereits Version 1.5.0.8 vor, die drei Sicherheitslöcher stopft und einige Bugs korrigiert. Details zu den Sicherheitskorrekturen und Bugfixes bringt ein Posting im Mozilla-Entwicklerblog; eine Liste der Sicherheitskorrekturen veröffentlichte die Mozilla-Foundation auf ihrer "Known Vulnerabilities"-Seite.

Unter anderem wurde in Thunderbird 1.5.0.8 ein JavaScript-Fehler behoben, durch den ein Script zur Laufzeit noch geändert und dadurch möglicherweise Code eingeschleust werden konnte. Auch gegen Anfälligkeit durch Fälschungen von RSA-Signatures haben die Entwickler neue Patches integriert; das Problem war zwar bereits in Thunderbird 1.5.0.7 angegangen, aber offensichtlich nicht vollständig behoben worden.

Auch von der 1.5x-Serie des Webbrowsers Firefox hat die Mozilla-Foundation eine Bugfix-Version herausgegeben. Wie beim E-Mail-Client werden in Firefox 1.5.0.8 vor allem drei Sicherheitslöcher gestopft – sie entsprechen den Lücken, die auch in Thunderbird 1.5.0.8 geschlossen wurden. Laut den Entwicklern werden die 1.5x-Versionen von Firefox noch bis zum 24. April 2007 mit Sicherheitspatches und Bugfixes unterstützt; empfohlen wird aber allen Anwendern, jetzt schon auf den vor Kurzem freigegebene Firefox 2.0 umzusteigen.

Die Version 1.5.08 von Firefox und von Thunderbird gibt es auf den Webseiten von mozilla.com zum Download; auch deutschsprachige Versionen sind bereits verfügbar. Anwender der 1.5x-Serie der beiden Mozilla-Anwendungen bekommen die neuen Versionen auch über das integrierte Update-System angeboten.

Quelle : www.heise.de

[SiLæncer]

Seit heute bietet Mozilla Updates für Firefox, Seamonkey und Thunderbird an. Das Update behebt neben einigen kleineren Bugs kritische Sicherheitslücken in den SVG- und JavaScript-Engines sowie in den Network Security Services (NSS), die einem Angreifer unter Umständen ermöglichen, ein System zum Absturz zu bringen oder fremden Schadcode auszuführen.

Weitere fünf Sicherheitslücken betreffen nur Firefox und Seamonkey. Das Update behebt diese Fehler, die den Parser, die Zeichensatzauswahl, das Caching und den Popup-Blocker betreffen und Angreifern teilweise die Manipulation angezeigter Inhalte, das Ausspähen von Daten oder das Ausführen von Schadcode erlauben.

Nutzer der Programme sollten daher so bald wie möglich auf Firefox 1.5.0.10 oder 2.0.0.2, Seamonkey 1.0.8 und Thunderbird 1.5.0.10 aktualisieren. Die Upgrades stehen allerdings teilweise noch nicht zum Download bereit. Zu den sieben Fehlern hat Mozilla Security jeweils eigene Advisories herausgegeben (1, 2, 3, 4, 5, 6, 7).

Quelle und Lin ks : http://www.heise.de/security/news/meldung/85820

[SiLæncer]

Die Mozilla Foundation respektive Mozilla Messaging haben Firefox 3.5.9 und Thunderbird 3.0.4  veröffentlicht, um mehrere kritische Sicherheitslücken zu beseitigen. Alle Updates korrigieren darüber hinaus weitere, nicht sicherheitsrelevante Fehler. Das Browser-Update schließt insgesamt neun Lücken, von denen die Entwickler sechs als kritisch einstufen. Im aktuellen Zweig 3.6 sind die Probleme bereits mit 3.6.2 gelöst.

Beim Mail-Client stopft das Update sechs Lücken, von denen vier kritisch sind. Die Websuite SeaMonkey weist die gleichen Fehler wie Firefox auf, dort schafft Version 2.0.4 die Fehler aus der Welt.

Zudem gibt es das Firefox-Update 3.0.19; hinsichtlich der Schwachstellen liegt aber noch keine Zusammenfassung vor. Mit dieser Version endet zudem der Support für Firefox 3.0.x, weshalb die Entwickler das Upgrade auf Version 3.6 empfehlen. Um dem vermutlich etwas Nachdruck zu verleihen, führen alle Download-Links auf den Seiten zur Beschreibung von 3.0.19 auch nur zu aktuellen Version 3.6.2.

Quelle : www.heise.de

[SiLæncer]

Mit dem Update auf Version 3.6.7 des Open-Source-Browsers Firefox schließen die Entwickler einige kritische Sicherheitslücken, über die Angreifer Schadcode auf das System einschleusen können. Einige Schwachstellen betreffen auch Thunderbird, das im gleichen Atemzug auf Version 3.1.1 aktualisiert wurde. Durch einen Fehler  in der Komponente libpng genügt bei früheren Versionen bereits eine manipulierte PNG-Datei, um einen Buffer Overflow zu provozieren.

Ein weiterer Fehler sorgt dafür, dass JavaScript-Code unter Umständen mit Chrome-Rechten ausgeführt wird. Insgesamt lassen sich laut Mozilla in Firefox acht Lücken zur Ausführung beliebigen Codes missbrauchen, über zwei weitere können Angreifer die Same-Origin Policy überwinden, also über die Domaingrenzen hinweg auf fremde Server zugreifen. Von vier weiteren Lücken geht eine moderate Bedrohung aus. Zudem hat Mozilla die Stabilität der Anwendungen verbessert.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheits-Updates für die Versionen 3.6.11 und 3.5.14 des Webbrowsers Firefox schließen zahlreiche Sicherheitslücken, die die Entwickler in neun Berichten zusammengefasst haben. Einige der Berichte beschreiben mehrere Probleme; insgesamt stuft die Mozilla Foundation sieben der Fehler als kritisch ein. Dazu gehört auch eine Schwachstelle beim Laden von Bibliotheken unter Windows und Linux, die Angreifer zum Unterschieben von Schadcode ausnutzen könnten. Daneben gab es auch das Update 2.0.9 für die Websuite SeaMonkey

Die Updates 3.1.5 und 3.0.9 für den Mail-Client Thunderbird schließen indes eine Lücke weniger, da sie von einer Cross-Site-Scripting-Lücke im Gopher-Parser nicht betroffen sind. Gopher ist quasi ein Vorgänger des WWW und unterstützt das Verteilen, Suchen und Laden von Dokumenten. Firefox ist einer der letzten populären Browser, der das Protokoll noch unterstützt. In Version 4.0 wird die integrierte Gopher-Unterstützung allerdings auch dort wegfallen.

Neben den sicherheitsrelevanten Problemen wurde auch kleinere Stabilitätsprobleme in Firefox, Thunderbird und SeaMonkey gelöst.

Quelle : www.heise.de

[SiLæncer]

Firefox 3.6.14 und 3.5.17 schließen insgesamt 13 Sicherheitslücken, von denen die Entwickler einen Großteil als kritisch einstufen, da sich darüber Code einschleusen und starten lässt. Die Fehler sind ebenfalls in der Beta-Version 2.0.12 von SeaMonkey behoben. Daneben ist auch das Update auf Thunderbird 3.1.8 erschienen, das ingesamt vier Lücken beseitigt.

Wie üblich wurden neben den sicherheitsrelevanten Problemen auch viele kleinere Stabilitätsprobleme in Firefox, Thunderbird und SeaMonkey gelöst. Neue Funktionen sind jedoch nicht hinzugekommen.

Quelle : www.heise.de

[SiLæncer]

Die Entwickler von Mozilla haben eine neue Version ihres Browsers Firefox veröffentlicht. Es handelt sich um ein kleineres Update, das lediglich Fehler in der aktuellen Ausgabe beseitigen soll.

Mit Firefox 3.6.15 wird nach Angaben von Mozilla lediglich ein Problem aus der Welt geschafft, dass dafür sorgte, dass manche Java-Applets mit der vorangegangenen Version nicht geladen werden konnten. Darüber hinaus gibt es offenbar keine weiteren Änderungen.

Mozilla arbeitet derzeit unter Hochdruck an Firefox 4.0. Nach Aussagen der Entwickler will man mit Version 4.0 das vorerst letzte derart große Update vornehmen, bevor dann künftig in deutlich kürzeren Abständen Neuerungen umgesetzt und neue Versionen veröffentlicht werden sollen.

Quelle : http://winfuture.de

[SiLæncer]

Parallel zur Veröffentlichung von Firefox 5 hat die Mozilla Foundation Firefox 3.6.18 und Thunderbird 3.1.11 vorgelegt. Die Updates schließen insgesamt 11 kritische Sicherheitslücken, die die Entwickler in fünf Fehlerberichten zusammengefasst haben, darunter mehrere hängende Zeiger (dangling Pointer).

Eine weitere Schwachstelle in der Zuordnung von Cookies zu Domains ermöglicht zudem den Cookie-Klau. Laut Bericht bewerten Firefox und Thunderbrd die Domains example.com. (mit Punkt am Ende) und example.com als gleichwertig, womit Angreifer die Same Origin Policy aushebeln und auf Cookies für anderen Webseiten zugreifen können. Die Updates werden üblicherweise über das automatische Update verteilt und installiert.

Quelle : www.heise.de

[SiLæncer]

Das Update von Firefox 9.01 auf die jüngst erschienene Version 10.0 bringt oberflächlich betrachtet nur wenig Neues, trotzdem führt kein Weg daran vorbei: Mozilla hat unter der Haube nämlich zahlreiche kritische Sicherheitslücken geschlossen, wie ein Blick auf die Security Advisories verrät.

Durch eine Schwachstelle im Ogg-Vorbis-Decoder könnte ein Angreifer etwa durch präparierte Videodateien Schadcode ins System einschleusen. Man muss sich lediglich auf eine speziell präparierte Webseite verirren, die beim Öffnen automatisch ein eingebettetes Schad-Video abspielt. Zudem war es unter anderem möglich, die Same-Origin-Policy des Browsers zu umgehen, um etwa beim Besuch einer vom Angreifer kontrollierten Webseite das Cookie für den Webmail-Zugriff abzugreifen (Cross-Site-Scripting).

Wer weiterhin sicher im Netz surfen will, sollte also schleunigst das Update installieren. Welche Version derzeit installiert ist, verrät Firefox nach einem Klick auf den Firefox-Button oben links, "Hilfe" und "Über Firefox". Hier kann man das Update anstoßen, sofern nicht bereits geschehen.

Wie gewohnt sind auch Thunderbird und SeaMonkey verwundbar, da die Programme in weiten Teilen auf dem gleichen Quellcode basieren. Abhilfe schaffen die Updates auf Thunderbird 10.0 und SeaMonkey 2.7.

Quelle : www.heise.de

[SiLæncer]

Die Mozilla-Entwickler haben mit neuen Versionen von Firefox, Thunderbird und SeaMonkey nicht nur neue Funktionen eingebaut, sondern auch zahlreiche Sicherheitslücken geschlossen. So wurden etwa allein in Firefox sechs kritische Lücken behoben, die das Einschleusen von Schadcode aus der Ferne erlauben; darunter ein Buffer Overflow bei der Vearbeitung von GIF-Animationen. Darüber hinaus haben die Entwickler unter anderem neun Sicherheitslöcher des zweithöchsten Schweregrads abgedichtet. Viele der Schwachstellen betreffen auch Thunderbird und SeaMonkey.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

So stellt sich Mozilla die Arbeit
von Minion vor. Bild: Mozilla

Die Mozilla Foundation entwickelt derzeit ein Open Source Sicherheitstest-Framework namens Minion, dessen Beta-Version im ersten Quartal 2013 veröffentlicht werden soll. Mit Minion sollen Entwickler einen Sicherheitscheck ihrer Web-Applikationen anstoßen können. Dadurch werden dann etablierte Pentest-Tools wie OWASPs Zed Attack Proxy (ZAP), Skipfish und NMAP auf die Applikationen angesetzt. Weitere Tools sollen man einfach als Plug-in ergänzen können.

Wie Yvan Boily, Sicherheitsentwickler von Mozilla, in seinem persönlichen Blog schreibt, soll Minion – auch von den Entwicklern bei Mozilla – dazu genutzt werden "schreckliche Dinge mit den Applikationen und Services zu tun, die sie schreiben." Mit der ausgereiften Version von Minion soll das dann so einfach wie ein Knopfdruck funktionieren. Einen ersten Einblick liefert ein Vortragsmitschnitt, in dem Boily das Framework demonstriert.

Die Daten, die bei den Tests anfallen, sollen gesammelt und evaluiert werden. Dementsprechend weist Mozilla im Projekt-Wiki darauf hin, dass Minion "sehr sicher" konzipiert werden muss, da es "mit sehr vertraulichen Daten umgehen wird" - beispielsweise mit Informationen zu den am weitesten verbreiteten Sicherheitsproblemen. Beteiligte des Minion-Projektes streiten in diesem Zusammenhang nicht ab, dass auch Kriminelle das Framework nutzen könnten, um Schwachstellen in Webseiten zu finden. Allerdings soll der Dienst vor dem Angriff auf eine Webseite prüfen, ob tatsächlich die Webseitenbetreiber die Anfrage nach einem Test gestellt haben.

Quelle: www.heise.de