Mozilla flickt Firefox und Thunderbird

Mozilla hat sein Surfbrett in zwei neuen Versionen veröffentlicht. In Firefox 3.6.9 und 3.5.12 sind jeweils 14 Schwachstellen beseitigt worden. Die Web-Suite Seamonkey 2.0.7 sowie das Mail-Programm Thunderbird 3.1.3 und 3.0.7 sind ebenfalls neu. Darin haben die Entwickler die gleichen Lücken gestopft wie in Firefox.

Die beseitigten Schwachstellen sind in den Sicherheitsmitteilungen MFSA 2010-49 bis MFSA 2010-63 dokumentiert. Die aktuelle Mozilla-Generation, vertreten durch Firefox 3.6.9 und Thunderbird 3.1.3, ist von der in MFSA 2010-60 beschriebenen XSS-Lücke in SJOW nicht betroffen. Die etwas ältere Generation, die unter der Motorhaube von Firefox 3.5.12, Thunderbird 3.0.7 und Seamonkey 2.0.7 werkelt, ist hingegen nicht für die SJOW-Lücke aus MFSA 2010-59 anfällig. SJOW ist ein Wrapper für Javascript-Code.

Mozilla stuft neun der 14 in Firefox geschlossenen Sicherheitslücken als kritisch ein, sie können also missbraucht werden, um eingeschleusten Code auszuführen. Hervorzuheben ist die Beseitigung der Anfälligkeit für das Nachladen von DLLs (Dynamic Link Library) aus dem Netz (MFSA 2010-52) - ein Problem, das viele tausend Programme verschiedenster Hersteller betrifft. Laut Mozilla gibt es das Problem bei Firefox, Seamonkey und Thunderbird nur unter Windows XP. Ab Windows Vista ist die benötigte Programmbibliothek (DLL) dwmapi.dll standardmässig vorhanden und liegt im DLL-Suchpfad.

Ausserdem bringt Firefox 3.6.9 einen Clickjacking-Schutz mit, von dem vor allem Facebook-Nutzer profitieren könnten. Voraussetzung wäre allerdings, dass Facebook den X-FRAME-OPTIONS-Header implementiert, der auch von den aktuellen Version aller anderen Browser (Internet Explorer 8, Safari 5, Opera 10, Chrome 6) bereits unterstützt wird. Für Firefox- und Seamonkey-Benutzer bietet die Erweiterung Noscript unabhängig davon Schutz vor den auf Facebook verbreiteten Clickjacking-Angriffen.