Kritische Firefox-Lücken gestopft

Drei der gestopften Firefox-Lücken werden von den Entwicklern als kritisch eingestuft. Eine Schwachstelle (MFSA 2009-67) erlaubt es, mittels der Media-Bibliothek libtheora einen Integer Overflow zu erzwingen. Ebenfalls ausgebessert wurde ein Fehler im Zusammenhang mit der liboggplay-Bibliothek (MFSA 2009-66). Firefox vor der Version 3.5 ist von diesen beiden Lücken nicht betroffen, da dort keine Video- oder Audio-Wiedergabemöglichkeiten direkt integriert sind.

Eine weitere Schwachstelle (MFSA 2009-65) könnte einen Absturz des Browsers zur Folge haben. Unter bestimmten Umständen könnten Angreifer auf den Speicher zugreifen. Firefox 3.0.16 und SeaMonkey 2.0.1 sind ebenfalls betroffen. Die Entwickler empfehlen, JavaScript zu deaktivieren, bis die neueste Firefox-Version eingespielt ist.

Die im Security Advisory 2009-68 beschriebene Lücke wird als hoch eingestuft. Sollte es einem Angreifer gelingen, Anwender auf eine speziell präparierte Website zu locken, könnte er NTLM-Anfragen auf andere Applikationen mit den Rechten des Users umleiten. Die beiden Schwachstellen MFSA 2009-69 und MFSA 2009-70 werden als moderat eingestuft. MFSA 2009-71 gilt als weniger gefährlich.

Weitere Informationen über die Lücken finden sich im offiziellen Changelog. Mozilla 3.5.6 steht ab sofort für Windows, Mac OS X und Linux bereit - entweder über die automatische Update-Funktion des Browsers oder als Download von der Firefox-Website.