Mit fünf neuen Programmversionen haben die Mozilla-Entwickler eine Reihe von Schwachstellen in ihren Produkten Thunderbird, Seamonkey und Firefox behoben. Firefox 3.6.9 unterstützt jetzt zudem den bereits von anderen Browser-Herstellern implementierten Clickjacking-Schutz über einen optionalen HTTP-Header.
Mozilla hat die neuen Versionen Firefox 3.6.9 und 3.5.12, Seamonkey 2.0.7 sowie Thunderbird 3.1.3 und 3.0.7 bereit gestellt. Darin haben die Entwickler insgesamt [color="Blue"]15 Sicherheitslücken geschlossen[/color], von denen 13 alle Mozilla-Produkte betreffen.
Die in der Sicherheitsmitteilung MFSA 2010-60 beschriebene XSS-Lücke betrifft nur Firefox 3.6.x und Thunderbird 3.1.x, die Schwachstelle aus MFSA 2010-59 hingegen nur Firefox 3.5.x, Thunderbird 3.0.x sowie Seamonkey 2.x. Daraus ergeben sich pro neuer Version je 14 beseitigte Lücken.
Die Mehrzahl der behobenen Schwachstellen wird von Mozilla als kritisch angesehen, weil ihre Ausnutzung das Einschleusen und Ausführen von beliebigem Code ermöglichen kann. Öffentlich verfügbarer Exploit-Code ist allerdings nur im Fall der Anfälligkeit für das Nachladen von DLLs (Programmbibliotheken) bekannt. Diese Schwachstelle betrifft etliche tausend Windows-Programme diverser Hersteller.
Nachdem der Clickjacking-Schutz durch den HTTP-Header "X-FRAME-OPTIONS" bereits durch alle anderen aktuellen Browser unterstützt wird, hat ihn nun auch Mozilla in Firefox 3.6.9 eingebaut. Um Besucher vor Angriffen zu schützen, müssen Webmaster jedoch diesen Header selbst in ihre Websites einbauen. Das würde vor allem Facebook-Nutzern helfen, sofern Facebook das irgendwann einmal umsetzen sollte. Auf Facebook sind Clickjacking-Angriffe (etwa das so genannte "Likejacking" (magnus.de berichtete) ) an der Tagesordnung.
Quelle + Download: News - magnus.de - Magnus.de