Foxload Web & Apps

In der aktuellen Version Firefox 3.6.13 gibt es wieder einige Änderungen, die sowohl die Stabilität also auch die Sicherheit des Browsers verbessern. Insgesamt gab es 11 sicherheitsrelevante Anpassungen.

• Unvollständiger Fix CVE-2010-0179
• Integer-Überlauf-Schwachstelle in NewIdArray
• Use-after-free-Fehler mit nsDOMAttribute MutationObserver
• Java-Sicherheitsleck bei LiveConnect: URL meta refresh
• Unterstützung für OTS font sanitizer
• Crash und Remote-Ausführung von Code mittels HTML-Tags innerhalb eines XUL-Baums
• Chrome Privilegienerweiterung mit window.open und ISINDEX Element
• Pufferüberlauf beim Zeilenumbruch nach mit langer Ausgabe via document.write
• Speicher Sicherheitsrisiken
• Adressleiste SSL-Spoofing mit Netzwerk-Fehler-Seite
• XSS-Gefährdung in mehreren Zeichenkodierungen

Es gab wieder ein Update des beliebten Webbrowsers. Inzwischen ist Firefox 3.6.11 erschienen und kann heruntergeladen werden. In der neuen Version wurden wieder einige Schwachstellen behoben und Optimierungen vorgenommen, damit einem sicheren Surfvergnügen nichts im Weg steht.

Behoben wurden folgende Punkte:

• Unsicherer Diffie-Hellman Schlüsselaustausch
• Schwachstelle beim Laden von Libraries
• SSL-Wildcard-Zertifikat: Prüfung auf übereinstimmende IP-Adressen
• Cross-site Informationsangabe via Modal-Calls
• XSS im Gopher-Parser wenn "hrefs" geparst wurden
• Pointer Schwachstelle in LookupGetterOrSetter
• Use-after-free Fehler in nsBarProp
• Buffer Overflow Speicherverletzung bei document.write
• Verschiedene Memory Sicherheitsrisiken

Die neue Version kann hier heruntergeladen werden.

Mozilla hat innerhalb kürzester Zeit mal wieder zwei neue Updates für den Firefox-Browser veröffentlicht. In der Version 3.6.9 gab es eine Unterstützung für den "X-FRAME-OPTIONS" HTTP-Response-Header. Betreiber von Websites können diese Option verwenden, um Clickjacking-Angriffe zu entschärfen, indem sie sicherstellen, dass ihre Inhalte nicht unerlaubt in andere Seiten eingebettet werden.

Neben dieser neuen Funktion wurden noch zahlreiche Sicherheitslücken und Stabilitätsprobleme behoben. So wurde z.B. ein Fehlverhalten in der Funktion "normalizeDocument" behoben, was zum Absturz des Browsers und im schlimmsten Fall zur Ausführung von Code geführt hat.

Leider ist es bei Mozilla aber sehr oft so, dass auf ein Update gleich ein nächstes folgt und so wurde kurz darauf Version 3.6.10 zum Download angeboten. In dieser Version wurde ein Absturzproblem beim Browser-Start behoben, was bei einer kleinen Anzahl von Firefox-Benutzern aufgetreten ist. Zudem wurde die Kompatibilität zur Personas Plus Erweiterung erhöht.

Im Downloadbereich von Foxload steht aktuell noch die Vorgängerversion bereit, da noch keine neuen Builds verfügbar sind. Allerdings kann man auch problemlos diese Version herunterladen und die automatische Update-Funktion in Firefox nutzen, um auf die aktuelle Version 3.6.10 zu wechseln.

Update: Nun ist auch hier die aktuelle Version verfügbar.

Mozilla hat wieder eine neue Firefox-Version veröffentlicht. Im Release 3.6.7 werden eine ganze Reihe Sicherheitslücken und Stabilitätsprobleme behoben. Insgesamt sind 8 Probleme mit dem Status "kritisch" und 2 mit "hoch" behoben worden.

Hier die Liste der kritischen Probleme, die behoben wurden:

• Remote code execution using malformed PNG image
• nsTreeSelection dangling pointer remote code execution vulnerability
• nsCSSValue::Array index integer overflow
• Arbitrary code execution using SJOW and fast native function
• Plugin parameter EnsureCachedAttrParamArrays remote code execution vulnerability
• Use-after-free error in NodeIterator
• DOM attribute cloning remote code execution vulnerability
• Miscellaneous memory safety hazards

Die meisten Lücken betreffen Probleme im Zusammenhang mit Speicherüberfläufen und der Möglichkeit schadhaften Code auszuführen. Ein Update auf Firefox 3.6.7 wird daher empfohlen.