11.01.2013
Sicherheit
Mozilla schließt kritische Lücken in Firefox & Co
Autor: Thorsten Eggeling
Die Mozilla-Entwickler haben die Version 18 von Firefox veröffentlicht. Damit schließen sie zahlreiche teils kritische Sicherheitslücken. Für Thunderbird und SeaMonkey gibt es ebenfalls Updates.
Das Open Source-Projekt Mozilla hat insgesamt 21 Advisories veröffentlicht, von denen zwölf "kritische" Sicherheitslücken in Firefox, Thunderbird und SeaMonkey beschreiben. Die Übrigen haben die Entwickler alle als "wichtig" eingestuft. Die Schwachstellen betreffen unter anderem auch mehrere Extended-Support-Releases.
Laut Beschreibung handelt es sich bei manchen kritischen Problemen um Use-after-free-Lücken. Angreifer können sie über das Internet ausnutzen, um Schadcode in das System einzuschleusen und mit den Rechten des Benutzers auszuführen. Die Fehler kommen zum Vorschein, wenn auf ein bereits gelöschtes oder fehlerhaft initialisiertes Speicherobjekt zugegriffen wird. Darüber hinaus können Angreifer den Rechner des Opfers zum Absturz bringen (Denial-of-Service), einen Cross-Site Scripting-Angriff durchführen, Sicherheitsfunktionen zu umgehen oder Informationen offenlegen. Zur erfolgreichen Ausnutzung dieser Sicherheitslücken muss der Angreifer den Nutzer dazu bringen, eine manipulierte E-Mail oder Webseite zu öffnen.
Darüber hinaus haben die Entwickler Firefox 18 insgesamt sicherer gemacht. Firefox kann von nun an unsichere Inhalte blockieren, die in HTTPS-geschützten Seiten enthalten sind. Da noch nicht ganz sicher ist, ob die Funktion unerwünschten Nebenwirkungen hat, ist sie standardmäßig abgeschaltet. Wenn Sie sie ausprobieren möchten, rufen Sie über die Adresszeile „about:config“ auf. Setzen Sie anschließend die Werte
security.mixed_content.block_active_content
security.mixed_content.block_display_content
security.warn_viewing_mixed
security.warn_viewing_mixed.show_once
security.mixed_content.block_display_content
security.warn_viewing_mixed
security.warn_viewing_mixed.show_once
per Doppelklick jeweils auf "true".
Weiter hat das Unternehmen auf die Panne beim türkischen Zertifikat-Herausgeber TürkTrust reagiert, der versehentlich Zertifikate weitergeben hat, die zur beliebigen Vergabe neuer Zertifikate ermächtigen. Diesen SSL-Zertifikaten hat Mozilla das Vertrauen entzogen.
Laut Release Notes und dem Blog-Eintrag Phishing and malware protection arrives on mobile devices gibt es auch Neuerungen bei der Android-Version von Firefox. Demnach stattet Mozilla als erster seinen mobilen Browser mit „Safe Browsing“ aus. Mit dieser Funktion sollen Datenschutz und Sicherheit bei mobilen Geräten deutlich erhöht werden. Dahinter steckt eine Liste mit gefährlichen Websites auf Basis der Google SafeBrowsing-Datenbank, die regelmäßig aktualisiert wird. Besucht der Nutzer eine Site von der Liste, erhält er eine Warnmeldung.
Das sind die aktuellen Versionen
Firefox 18.0, Firefox Extended Support Release (ESR) 17.0.2, Firefox ESR 10.0.12. Thunderbird 17.0.2, Thunderbird ESR 17.0.2, Thunderbird ESR 10.0.12 und SeaMonkey 2.15.
Firefox 18.0, Firefox Extended Support Release (ESR) 17.0.2, Firefox ESR 10.0.12. Thunderbird 17.0.2, Thunderbird ESR 17.0.2, Thunderbird ESR 10.0.12 und SeaMonkey 2.15.
Welche Version von Firefox 18 installiert ist, erfahren Sie über das Menü "Hilfe, Über Firefox". Beim Aufruf wird der Update-Prozess manuell angestoßen. Da Mozilla Thunderbird momentan nicht weiterentwickelt, liefert das Unternehmen hier nur Sicherheitsupdates. Aus diesem Grund sind die Versionsnummer der aktuellen Version und der Extended-Support-Release identisch.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>