News 06.03.2009, 12:11 Uhr

Firefox-Lücke gestopft

Das jüngste Security-Update für den Mozilla-Browser schliesst eine sogenannte Spoofing-Lücke und beseitigt mehrere Fehler – unter anderem in Zusammenhang mit PNG-Bildern.
Die neue Firefox-Version 3.0.7 schliesst eine Lücke, die für URL-Spoofing missbraucht werden konnte. Dadurch konnten Angreifer die tatsächliche Identität von besuchten Internetseiten verschleiern. Ausserdem beseitigt Firefox 3.0.7 eine Schwachstelle, bei der sich mittels PNG-Bilder ein Speicherproblem hervorrufen liess.
Im Zusammenhang mit der Speicherverwaltung wurde zudem ein weiteres Problem behoben, das zum Absturz des Browsers führen konnte. Über alle geschlossenen Sicherheitslücken informiert das Mozilla-Sicherheits-Advisory.
Daneben hat Mozilla seinem Browser aber auch einige Korrekturen verpasst, die nicht sicherheitsrelevant sind. So konnte es vorkommen, dass alle Menüpunkte im Datei-Menü als inaktiv angezeigt wurden, wenn der Punkt «Drucken» gewählt wurde. Bei einigen Anwendern konnte es ausserdem vorkommen, dass der Browser seine Cookies verlor. Diese beiden Probleme sollten mit Firefox 3.0.7 der Vergangenheit angehören.
Von den Schwachstellen sind auch der Mailclient Thunderbird (neue Version 2.0.0.21) und die Programmsammlung SeaMonkey (neu: 1.1.15) betroffen.


Kommentare

Avatar
pagefault
07.03.2009
Erst gerade kam FF Version 3.0.6 und schon kommt 3.0.7Dass Lücken schnell geschlossen werden, sehe ich nicht als Nachteil - im Gegenteil: Es werden auch für den Internet Explorer häufigere Updates gefordert, die zudem vom monatlichen "Patch-Tuesday" abgekoppelt sein sollten, um so schneller auf akute Bedrohungen reagieren zu können. Der Aufstart ist noch langsamer. Obwohl der Launcher für die portable Version verbessert worden sein soll. ...(gekürzt)... Ich mach mir da um FF langsam sorgen. wenn der IE schneller und sicherer ist. Wegen der Zusammenarbeit von Mozilla und Google habe ich zunehmend Datenschutzbedenken.Ich teile deine Bedenken 100%-ig - und sehe sogar einen diesbezüglichen Zusammenhang: Ein Teil der Startverzögerung von Firefox 3.x geht übrigens auf das Konto seiner "nachhause-telefonier-Funktionalitäten" wie: Automatische Prüfung auf Updates des Programms, der Add-Ons sowie der Liste der "verbotenen" Add-Ons. Ausserdem wird bei der standardmässig aktivierten "safe browsing" Option (via Google) bei jeder aufgesuchten Seite eine eindeutige Client-ID mitgesendet, was das "sichere Surfen" für Google ganz schön transparent machen dürfte ... (Tipp: about:config und nach moz:client filtern) Aber wie du richtig schreibst: Beim IE oder bei Chrome regen sich die Leute auf, bei Firefox stört das keinen - present company excepted ;)

Avatar
BlackIceDefender
08.03.2009
Ich habe mir die sqlite Datenbanken mal angeschaut. es gibt dazu ein ff Add-on SQLite Manager. Sehr praktisch.... schaltet man den teil suspected attack site und forgery (das safe browsing zeugs, das mit google kommuniziert) aus, werden die tabellen in urlclassifier3 nicht mehr aufgefrischt. der startup ist aber immer noch recht langsam. ich starte den ff ueber ein kleines script, das vorweg die dateien mit identifizierbaren informationen wegpustet: [code]del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\cert8.db del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\cookies.sqlite del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\key3.db del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\localstore.rdf del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\places.sqlite del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\urlclassifier3.sqlite del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\urlclassifier3.txt del %PUBLIC%\PortableApps\FirefoxPortable\Data\profile\webappsstore.sqlite start FirefoxPortable.exe[/code] funktioniert. ich benutze die portable version und nicht für dinge wie e-banking. ich habe kein datenmodell zu urlclassifier3 gefunden. somit ist firefox bei diesem aspekt nicht opensource. Ausser jemand hier kann mich auf eine quelle hinweisen. zur theorie hinter dem ding (tagging) hier etwas: http://www.kde.cs.uni-kassel.de/ws/rsdc08/pdf/all_rsdc_v2.pdf. zum browserverlauf allerdings schon: http://www.forensicswiki.org/wiki/Mozilla_Firefox_3_History_File_Format

Avatar
pagefault
09.03.2009
ich starte den ff ueber ein kleines script, das vorweg die dateien mit identifizierbaren informationen wegpustetJa, damit ist dein Browser immer wie "neu". Eigentlich möchte ich aber meine Bookmarks wieder vorfinden, weshalb mir ein etwas subtilerer Umgang mit der places.sqlite angebracht erschien. Glücklicherweise hat Sven Hoffmann, der findige Programmierer von ClearProg meine diesbezüglichen Hinweise aufgegriffen und schnibbelt jetzt mit der neuesten Version 1.5.1 Beta 7 die unerwünschten Daten perfekt aus der places.sqlite raus (und "vacuumiert" sie auch gleich noch). schaltet man den teil suspected attack site und forgery (das safe browsing zeugs, das mit google kommuniziert) aus, werden die tabellen in urlclassifier3 nicht mehr aufgefrischt.Ja, das habe ich auch bemerkt - da ich recht viele PCs pflege, habe ich mir dafür ein kleines Programm geschrieben, welches die unerwünschen Einstellungen gleich in der globalen Konfigurationsdatei C:\Programme\Mozilla Firefox\defaults\pref\firefox.js ändert - so muss ich das nicht in jedem Benutzerkonto einzeln machen und die Anwender können problemlos "ihre" eigenen Einstellungen machen und auch behalten und alle sind glücklich (ausser Google :D)

Avatar
BlackIceDefender
10.03.2009
Das ist aber sowas wie ccleaner. nicht etwas vorgeschaltetes. da deren daten-sammlerei nicht offenliegt, biete ich auch meine bookmarks nicht an. wichtig ist auch, dass die client id weggepustet wird. diese wird dann neu erzeugt.