Kritische Sicherheitslücke in Firefox geschlossen Firefox 39.0.3 erschienen

Christoph · 03.07.2015, 10:26

Die neue Version ist da.

Download z.B.: ftp://ftp.mozilla.org/pub/firefox/releases/39.0/

Release Notes

Zu den Neuigkeiten siehe z.B.: http://www.wintotal.de/softwarearchiv/?id=1702

Wird auch schon über das automat. Update erkannt.

Christoph · 07.08.2015, 11:52

Kritische Sicherheitslücke in Firefox geschlossen

Zitat:

Ein Fehler in der JavaScript-Sandbox erlaubt einen Angriff aus dem in Firefox integrierten PDF-Viewer. Die Schwachstelle wurde bereits ausgenutzt; Mozilla hat ein Update bereitgestellt und rät zu weiteren Vorsichtsmaßnahmen.

Angreifer haben einen Fehler in der Implementierung der "Same Origin Policy" von Firefox ausgenutzt. Das berichtet der Sicherheitsverantwortliche von Mozilla, Daniel Veditz, in einem Blog-Beitrag. Betroffen seien nur solche Firefox-Versionen, die den integrierten PDF-Viewer enthalten, dazu gehören die Desktop-Varianten.

Die Schwachstelle erlaube nicht das Ausführen beliebigen JavaScript-Codes, sondern laufe nur im "local file context". Dadurch sei es Angreifern möglich, lokal gespeicherte Dateien zu suchen und auf eigene Server hochzuladen. Genau das ist laut Mozilla auch in dem bekanntgewordenen Exploit geschehen: Eine Anzeige auf einer russischen Website habe den bösartigen Code verbreitet, der lokale Dateien an einen Server in der Ukraine verschickt habe.

Die betreffenden Dateien seien "überraschend entwicklerzentriert": Unter Windows habe der Exploit nach Konfigurationsdateien für Subversion, s3browser und Filezilla sowie FTP-Clients gesucht. Unter Linux seien unter anderem die Passwort-Datei /etc/passwd, User-Konfigurationen für SSH sowie History-Files für MySQL und bash betroffen. Mac-Anwender habe der entdeckte Exploit nicht zum Ziel gehabt. Sie können sich jedoch nicht in Sicherheit wiegen, da anderer Code auch sie angreifen könne.

Mozilla hat bereits ein Update für Firefox auf Version 39.0.3 veröffentlicht, das sich in der Regel selbsttätig installiert. Wer diese Automatik deaktiviert hat, sollte den Browser so schnell wie möglich manuell aktualisieren. Für die Enterprise-Variante des Browsers gibt es die Korrektur in Version ESR38.1.1. Außerdem fordert Mozilla Windows- und Linux-Anwender auf, Passwörter und Schlüssel in den erwähnten Konfigurationsdateien vorsorglich zu ändern, da der Exploit keine Spuren auf der Maschine hinterlasse. Wer einen Adblocker benutze, sei möglicherweise vor dem Angriff sicher gewesen. (Christian Kirsch) / (ck)

Quelle: http://www.heise.de/newsticker/meldu...n-2774450.html

Download 39.0.3:
ftp://ftp.mozilla.org/pub/firefox/releases/39.0.3/

03.07.2015, 10:26	#1
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Kritische Sicherheitslücke in Firefox geschlossen Firefox 39.0.3 erschienen Die neue Version ist da. Download z.B.: ftp://ftp.mozilla.org/pub/firefox/releases/39.0/ Release Notes Zu den Neuigkeiten siehe z.B.: http://www.wintotal.de/softwarearchiv/?id=1702 Wird auch schon über das automat. Update erkannt. ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)