Neues Update für Webbrowser Firefox [Update]
Die Version 2.0.0.8 macht den Open-Source-Webbrowser der Mozilla-Foundation weitgehend kompatibel mit Apples kommendem Mac OS X 10.5 Leopard und bringt acht Security-Fixes mit.
Die Entwickler der Mozilla-Foundation haben, während die Arbeit an Firefox 3.0 [1] weitergeht, ein neues Update für die 2.x-Serie des Open-Source-Webbrowsers freigegeben. Firefox 2.0.0.8 steht bereits in diversen Landessprachen, darunter auch in einer deutschsprachigen Version, für Windows, Mac OS X und Linux zum Download bereit [2]. Über die automatische Update-Funktion des Browsers wird die neue Version nach und nach ebenfalls angeboten.
Firefox 2.0.0.8 ist nach den Angaben [3] der Entwickler nunmehr kompatibel mit Apples kommender neuer Systemversion Leopard (Mac OS X 10.5). Allerdings gebe es auch noch einige bereits bekannte Probleme [4], die die Funktion des Webbrowsers unter Mac OS X 10.5 beeinträchtigen können, darunter Schwierigkeiten mit einigen Media-Plug-ins.
Neben der Anpassung an Mac OS X 10.5 gaben die Entwickler Firefox 2.0.0.8 auch noch acht Security-Fixes [5] mit. Zwei davon werden als "kritisch" eingeschätzt: Ein Bug [6] führt zu Abstürzen mit der Möglichkeit für Angreifer, eigenen Code einzuschleusen. Ein weiterer Fehler [7] konnte von Angreifern dazu genutzt werden, eigenen JavaScript-Code im Kontext des lokalen Anwenders auszuführen.
Außerdem haben die Firefox-Programmierer einen weiteren Fix eingebaut, der die URI-Handling-Sicherheitslücke in Windows [8] umgehen soll. Microsoft hat für dieses Problem zwar einen Patch für Windows versprochen [9], der das Sicherheitsleck beim Aufrufen von anderen Programmen grundsätzlich korrigieren soll. Bislang ist von diesem Update aber noch nichts zu sehen; ein inoffizieller URI-Patch ist zudem mit eigenen Fehlern behaftet [10].
Einige der Sicherheitslecks betreffen auch den Mail-Client Thunderbird und die Websuite Seamonkey [11]. Die geplanten Versionen Thunderbird 2.0.0.8 sowie Seamonkey 1.1.5 sind aber noch nicht freigegeben, auch wenn zumindest für Seamonkey die Sicherheitsfixes bereits aufgeführt werden [12].
[Update]:
Die Websuite Seamonkey 1.1.5 ist mittlerweile ebenfalls zum Download verfügbar. Sie stopft über die Security-Fixes in Firefox 2.0.0.8 hinaus ein Sicherheitsleck, das Angreifern die Ausführung von eigenem Code über Medialink-Dateien von Quicktime ermöglichte. Details [13] zu den Sicherheitskorrekturen führt die Vulnerabilities-Seite der Mozilla-Foundation auf.
(jk [14])
URL dieses Artikels:
https://www.heise.de/-186867
Links in diesem Artikel:
[1] https://www.heise.de/news/Achte-Alpha-von-Firefox-3-mit-Malware-Schutz-177291.html
[2] http://www.mozilla.com/en-US/firefox/all.html
[3] http://www.mozilla.com/en-US/firefox/2.0.0.8/releasenotes/
[4] http://www.mozilla.com/en-US/firefox/2.0.0.8/releasenotes/#macosx
[5] http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.8
[6] http://www.mozilla.org/security/announce/2007/mfsa2007-29.html
[7] http://www.mozilla.org/security/announce/2007/mfsa2007-35.html
[8] https://www.heise.de/news/URI-Problem-zieht-weitere-Kreise-Acrobat-Reader-und-Netscape-anfaellig-2-Update-181817.html
[9] https://www.heise.de/news/Microsoft-will-URI-Luecke-in-Windows-patchen-183962.html
[10] https://www.heise.de/news/Heftiger-Fehler-im-inoffiziellen-URI-Patch-186731.html
[11] http://www.mozilla.org/projects/seamonkey/
[12] http://www.mozilla.org/projects/security/known-vulnerabilities.html#SeaMonkey
[13] http://www.mozilla.org/projects/security/known-vulnerabilities.html#seamonkey1.1.5
[14] mailto:jk@heise.de
Copyright © 2007 Heise Medien