Firefox 3.0.4 veröffentlicht!
Und wieder ist ein neuer Firefox erschienen. Die neue Version behebt wieder einige Sicherheitslücken und ist in weiteren Sprachvarianten erhältlich. Auch diverse kleine Fehler wurden beseitigt.
Firefox 3.0.4 behebt Sicherheitslücken
Wenn selbst bei einer ganz normalen Browser-Session ein Angreifer Schadcode ausführen und Programme installieren kann, dann wird das bei Mozilla als kritisches Problem bezeichnet.
Wenn eine Schwachstelle ausgenutzt werden kann, um sensible Daten zu sammeln und in anderen Fenstern einzufügen und Daten oder Code in solche Seiten eingefügt werden kann, dann verwendet man bei Mozilla die Warnstufe "High".
Schwachstellen die normalerweise als "Hoch" oder sogar "Kritisch" angesehen werden, können im Firefox nur in ganz seltenen Fällen auftreten. Das kann eigentlich nur passieren, wenn die Firefox-Konfiguration ungewöhnlich vom User verändert wurde.
Als niedrig eingestuft wurden kleinere Sicherheitslücken wie Denial of Service Attacken, kleine Datenlecks oder Spoofs.
Die Einstellung -moz-binding überbrückte Sicherheitskontrollen auf Codebasis. Hier vergab man die Warnstufe "High".
Ein ebenfalls als Hoch einzustufendes Problem gab es mit nsXMLHttpRequest.
Im nsFrameManager konnte entfernter Code verwendet werden und der Frame Manager zum Absturz gebracht werden. Dies wurde sogar als Kritisch eingestuft.
Ein Buffer Overflow war im http-index-format Parser möglich. Ebenfalls eine kritische Lücke.
Mit XSS und Javascript konnte man sich Rechte verschaffen, indem man den Browser zum Wiederherstellen einer Session veranlasste. Ebenfalls Kritisch.
Die letzte kritische Sicherheitslücke betrifft Abstürze durch falsch adressierte Speicherzuweisungen.
URI´s konnten Chrom-Privilegien übernehmen, wenn sie von Chrome geöffnet wurden.
Informationen konnten über lokale Shortcut-Dateien gestohlen werden.
Die beiden letzten Meldungen wurden als Moderat eingestuft.
Weitere Neuerungen.
Firefox spricht jetzt auch Isländisch und Thailändisch. Betaversionen für weitere sechs Sprachen stehen zum Test bereit.
Man hat die interne Liste der Top-Level Domains auf den neuesten Stand gebracht. Bei einigen asiatischen Sprachen gab es Probleme mit dem Eingabeprogramm. Es konnte durch den Lesezeichen gesetzt Dialog überdeckt werden. Außerdem hat man weitere EV-Stammzertifikate aktiviert. Das bereits in Firefox 3.0.2 aufgetretene Problem mit dem fehlerhaften Speichern von Passwörtern wurde nun endlich auch behoben. Auch Proxy-Einstellungen wurden teilweise fehlerhaft gespeichert, was jetzt mit der aktuellen Version behoben ist.
Es gab also doch einige Änderungen im neuen Firefox 3.0.4 wovon man als normaler User an der Oberfläche überhaupt nichts sieht und nichts bemerkt. Angesichts der geschlossenen Securitylecks ist es unbedingt anzuraten, ein Upgrade sofort durchzuführen. Mit Firefox ist das ja relativ einfach und schnell gemacht. Man klickt im Browser-Menü einfach nur auf "Hilfe" und dann auf "Updates suchen..." und kann dann ganz leicht das Update vollziehen.