Kritische Sicherheitslücken im Web-Browser Firefox
04. Februar 2009
Kritische Sicherheitslücken im Web-Browser Firefox
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten
Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.
Informationsquelle(n):
Meldungen der Mozilla Foundation
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
Meldung auf Heise Security
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855
Beschreibung
Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:- Local File Stealing
- Arbitrary Code Execution
- Cookie Stealing
- Privilege Escalation via .desktop Files
Auswirkungen
Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen, sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:- Firefox vor Version 3.0.6
Abhilfe
- Firefox: Update auf die aktuelle Version 3.0.6
- Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails aktiviert ist (diese Einstellung ist Default)
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldungen der Mozilla Foundation
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
Meldung auf Heise Security
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855