Ausfuehren beliebigen Programmcodes mit Benutzerrechten
03.Januar 2009
Mehrere Schwachstellen in 'Mozilla-Produkten' ermoeglichen Codeausfuehrung
Am 18.12.2008 warnte CERT-Bund in der Kurzinformation CB-K08/0645 vor
mehreren Schwachstellen in den 'Mozilla'-Produkten 'Firefox',
'SeaMonkey' und 'Thunderbird'. Die 'Mozilla'-Entwickler haben nun die
'Thunderbird'-Version 2.0.0.19 bereitgestellt, in der die
Schwachstellen behoben sind 8 . Diese Version stand bislang noch
aus.
In den Anwendungen 'Mozilla Firefox', 'Mozilla SeaMonkey' und 'Mozilla
Thunderbird' existieren insgesamt zehn Schwachstellen. Der Hersteller
stuft davon drei als 'kritisch' ein.
Die Ausnutzung der Schwachstellen ermoeglicht einem entfernten
Angreifer u.a. das Ausspaehen von Daten, das Umgehen von
Sicherheitsvorkehrungen, Denial-of-Service Angriffe sowie das
Ausfuehren beliebigen Skript- oder Programmcodes mit den Rechten des
angemeldeten Benutzers.
Die Schwachstellen sind in den aktuellen Versionen von 'Mozilla
Firefox' (3.0.5 bzw. 2.0.0.20) und 'Mozilla SeaMonkey' (1.1.14)
behoben. Mit der Version 'Mozilla Firefox 2.0.0.20' endet der Support
und die Bereitstellung von Sicherheitsupdates fuer die Versionsreihe
2.x. Ausserdem wird der 'Phishing-Schutz' in der 'Mozilla
Firefox'-Versionsreihe 2.x nicht mehr unterstuetzt. Daher sollten
Anwender von 'Mozilla Firefox' Version 2.x auf die Version 3
umsteigen.
Weitere Informationen entnehmen Sie bitte folgenden Quellen:
