Firefox 3.5.2 und 3.0.13 schließen Sicherheitslücken

Die Mozilla Foundation hat neue Versionen ihres Firefox-Browsers vorgelegt, die im 3.5er-Zweig vier und im 3.0er-Zweig drei Sicherheitslücken beseitigen. Unter anderem kann ein Angreifer JavaScript mit den höchsten Rechten (Chrome) im Browser ausführen. Zudem deuten Abstürze in bestimmten Situationen auf möglicherwiese ausnutzbare Speicherfehler hin, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen.

Darüber hinaus nehmen die Updates Betrügern eine Möglichkeit, mit Funktionsaufrufen von window.open auf ungültige URLs und anschließendem document.write eine manipulierte Webseite als SSL-geschützt anzuzeigen. Phisher könnten dies zum Klau von Daten missbrauchen. Außerdem beseitigen die aktuellen Versionen des Webbrowsers einen Fehler bei der Verarbeitung von SOCKS5-Anworten mit mehr als 15 Zeichen langen DNS-Namen.

Nachträglich hat die Foundation Fehlerbeschreibungen zu zwei längst in Firefox 3.5 geschlossenen Schwachstellen in Zusammenhang mit der Verarbeitung von SSL-Zertifikarten veröffentlich, die indes im Firefox 3.0.x weiter offen sind – und es wohl noch bleiben. Details zu den Lücken hatte Moxie Marlinspike auf seinem kürzlich gehaltenem Black-Hat-Vortrag enthüllt. Durch das Einfügen von Nullzeichen in Zertifikaten denken viele Browser, dass etwa das auf www.paypal.com\0.thoughtcrime.org ausgestellte Zertifikat zu www.paypal.com gehört. Der Mozilla-Fehlerbericht weist darauf hin, dass sich auf diese Weise auch der gesicherte Update-Mechanismus von Firefox aufbrechen ließe. Ein Update-Angriffstool wurde auf der Black Hat bereits vorgestellt.

Marlinspike hatte das Problem wohl parallel zu Dan Kaminsky gefunden. Kaminsky hatte aber offenbar zusammen mit dem Microsoft Vulnerability Research an einer koordinierten Lösung des Problems gearbeitet, da neben Firefox auch der Internet Explorer und andere Browser betroffen sind. Nebenbei hatte Marlinspike noch einen Heap Overflow bei der Verarbeitung von präparierten Zertifikaten entdeckt, durch den sich Code einschleusen und ausführen lässt. Davon sind auch Thunderbird und SeaMonkey betroffen sein. Ob die Fehler dort behoben sind, lässt der Bericht offen. Der Bericht gibt nur an, dass der Fehler auch in den Network Security Services (NSS) 3.12.3 korrigiert wurde.

Auf jeden Fall empfiehlt die Mozilla Foundation Anwendern des Firefox 3.0.x, schon jetzt auf 3.5.x zu wechseln. Ohnehin endet der Support für den Vorgänger im Januar 2010.

Siehe dazu auch:

• Mozilla Foundation Security Advisories
• Gefahr durch automatische Softwareupdates, News auf heise Security
• Neue SSL-Attacken demonstriert, News auf heise Security

(dab)