Und wieder gibt es hier einen neuen Firefox zum Download. Diesmal werden mehrere Sicherheitslücken behoben. Man sollte dringend updaten.
Mozilla bringt Version 3.5.2 des Firefox heraus
Die neue Version des Mozilla Browsers sollte man schleunigst installieren. Diesmal werden gleich zwei kritische Sicherheitslücken geschlossen.
Die erste kritische Lücke ist ein Heap Überlauf durch fehlerhaften Code, welcher Regular Expressions, also reguläre Ausdrücke in zertifizierten Namen zulässt. Diese Lücke kann also benutzt werden, um Schadcode auszuführen. Der Angreifer wird in diesem Fall versuchen, ein spezielles Zertifikat an den Client zu schicken.
Ein zweites kritisches Problem ist die SSL-geschützte Kommunikation. Ein Angreifer kann auch hier ein modifiziertes Zertifikat mit einem Null-Charakter an den Browser eines unbedarften Users schicken. Das Zertifikat ist zwar dann nicht gültig, aber das ignorierte der Firefox bisher. Ein solches Zertifikat konnte so für jede beliebige Ziel-Seite verwendet werden. Der Angreifer konnte somit auch eine verschlüsselte Kommunikation zwischen Server und Client auslesen. Das könnten auch Daten sein, die beim Online-Banking anfallen. Also sehr gefährlich.
Das dritte Problem ist weniger gefährlich. Wenn der Firefox eine Antwort von einem SOCKS5 Proxy erhielt, welcher einen DNS-Namen mit mehr als 15 Zeichen hatte, konnte die Datenübertragung fehlerhaft sein. In Bezug auf dieses Problem sind allerdings keine Speicherfehler bekannt. Somit ist das ganze auch eher nicht kritisch anzusehen.
