Microsoft und Mozilla schließen Browser-Sicherheitslücken

Neue Firefox-Versionen und Security-Patch für Internet Explorer

17.12.2008 | Redakteur: Stephan Augsten

Nutzer von Internet Explorer und Firefox sollten ihren Webbrowser aktualisieren, um nicht als Zielscheibe zu dienen.
Nutzer von Internet Explorer und Firefox sollten ihren Webbrowser aktualisieren, um nicht als Zielscheibe zu dienen.

Microsoft will heute Abend die Schadcode-anfällige XML-Schwachstelle im Internet Explorer patchen. Ein Update wird vom Hersteller dringend empfohlen, da die Sicherheitslücke bereits beliebtes Angriffsziel ist. Auch Nutzer des Konkurrenz-Browsers Firefox sollten heute die Update-Funktion nutzen, da eine neue Version kritische Sicherheitslücken schließt.

Zum zweiten Mal innerhalb der vergangenen zwei Monate veröffentlicht Software-Gigant Microsoft einen außerplanmäßigen Security-Patch. Wie bei einem Notfall-Bugfix zu erwarten, stuft Microsoft das Sicherheitsupdate als kritisch ein.

Voraussichtlich steht das Update für den Internet Explorer (IE) am heutigen Mittwochabend ab 19 Uhr zum Download bereit. Allerdings könnte es zu Server-Engpässen kommen, da dies 10 Uhr früh Pazifischer Zeit entspricht und demnach viele amerikanische Unternehmen und Nutzer ihre Systeme patchen werden.

Das Update behebt den vergangene Woche bekannt gewordenen Ausnahmefehler bei der Behandlung von XML-Webinhalten, der vermutlich schon länger Ziel von Malware-Angriffen ist. Den ursprünglichen Angriffscode hatte ein Team chinesischer Sicherheitsforscher versehentlich veröffentlicht.

Somit konzentrierten sich Angriffe zunächst nur auf IE-Nutzer im Land der Mitte. Seit Bekanntwerden der Sicherheítslücke hat sich der Exploit aber über kompromittierte Webserver weiterverbreitet.

Mozilla empfiehlt Update auf Firefox 3

Nutzer des Konkurrenz-Browsers Mozilla Firefox sollten heute ebenfalls ein Update auf die Version 3.0.5 respektive 2.0.0.19 in Erwägung ziehen. Denn damit adressieren die Open-Source-Entwickler insgesamt acht Sicherheitslücken, von denen drei als kritisch eingestuft werden.

Zwei dieser Schwachstellen sind anfällig für Cross-Site-Scripting-Attacken (XSS) in Verbindung mit der Same Origin Policy (SOP). Diese verhindert normalerweise das Ausführen von Website-fremden JavaScript-Objekten, kann jedoch durch XSS-Angriffe ausgehebelt werden. Eine davon betroffene Funktion ist die Sitzungswiederherstellung von Firefox.

Der dritte kritische Bug verursacht unter Umständen Speicherfehler und führt infolgedessen zum Absturz des Browsers. Weitere Auswirkungen sind zwar nicht bekannt, allerdings gehen die Mozilla-Entwickler vorsorglich davon aus, dass über die Schwachstelle bösartiger Code ausgeführt werden kann.

Immerhin noch als wichtig wird ein viertes Firefox-Update eingestuft, das einen möglichen Datendiebstahl über Cross-Domain-Zugriffe bösartiger JavaScript-Elemente unterbinden soll. Nutzer der Mozilla-Anwendungen Thunderbird und Seamonkey sollten diese ebenfalls aktualisieren, sofern JavaScript aktiviert ist.

Die vier weiteren Sicherheitslücken sind weniger kritisch, da sie nur unter ganz speziellen bzw. unwahrscheinlichen Umständen ausgenutzt werden können oder keine weitreichenden Konsequenzen haben. Übrigens stellt Mozilla den Support der Firefox-Version 2.x mit diesem Update ein. Deshalb sind die User zur Aktualisierung auf Firefox 3 angehalten.

Ist die automatische Update-Funktion deaktiviert, müssen Firefox-Nutzer die neue Programmversion manuell über den Menüpunkt „Hilfe“ herunterladen und installieren. Alternativ steht das Firefox-Update auf der Mozilla-Webseite zum Download bereit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2018530 / Schwachstellen-Management)