Patchday bei Mozilla

Das Mozilla-Projekt feierte gestern offenbar Patchday: Für den Firefox 2, Firefox 3 und Seamonkey gab es Updates, die kritische Sicherheitslücken, aber auch Probleme mit der Stabilität beseitigten. So schließt Firefox 3.0.4 eine Lücke, die zu einem Buffer Overflow im MIME-Type für das HTTP-Index-Format. Schickt ein Angreifer per Server einen speziell modifizierten Statuscode 200 ("Die Anfrage erreichte Server korrekt und wurde korrekt ausgeführt.) als HTTP-Index-Antwort an den Browser, kann er diesen zum Absturz bringen und eigenen Code auf der fremden Maschine ausführen.

Durch eine weitere Sicherheitslücke beim Wiederherstellen einer Browser Session kann ein Angreifer die "Selber-Ursprung-Richtlinie" (same-origin policy) überrumpeln und JavaScript im Kontext einer anderen Seite ausführen. Dadurch kann der Angreifer auch JavaScript mit den Rechten von Chrome ausführen. Chrome-URLs besitzen erweiterte Rechte und kommen meist nur lokal zusammen mit XUL zum Einsatz, etwa beim Einsatz von Firefox Add-ons. Daneben bringt Friefox 3.0.4 noch einige Spracherweiterungen und Optimierungen mit.

In Firefox 2.0.0.18 wurden nur Sicherheitslücken gestopft. Es handelt sich zum großen Teil um dieselben Lücken wie im Firefox 3. Dazu gehört der Buffer Overflow bei modifizierten 200er-Headern sowie eine Lücke im nsFrameManager, über die Angreifer Code ausführen. Eine exklusive Lücke im Flashplayer betrifft nur den Firefox 2: Wurde das Flashplayer-Modul dynamisch entladen, ließ sich willkürlich Code ausführen.

Nicht zuletzt wurden in Seamonkey, dem Nachfolger des Mozilla Browsers, 8 kritische Bugs gefixt, die Abstürze provozieren, aber auch Sicherheitslücken öffnen. Unter anderem schweißt der Browser im Cache ungewollt zwei JavaScript-Dateien miteinander, was einen Fehler verursacht. Die Release Notes gibt es hier.