1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Sicherheitslücke in Thunderbird 2.x

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 15. Dezember 2009.

  1. camouflage
    Offline

    camouflage Chef Mod

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]Im Versionszweig 2.x von Mozillas Mail-Programm Thunderbird steckt eine Sicherheitslücke, die in Firefox bereits behoben ist. Ein Grund mehr jetzt auf Thunderbird 3.0 zu wechseln.[/FONT]
    [FONT=&quot]Seit letzter Woche ist die neue Version Thunderbird 3.0 verfügbar. Während Mozilla noch keine Informationen über darin beseitigte Sicherheitslücken der Vorversionen (2.x) heraus gegeben hat, wird von Dritten über eine Schwachstelle berichtet, die den Versionszweig Thunderbird 2.x betrifft. Es handelt sich dabei um einen bereits in Firefox 3.5.4 und 3.0.15 sowie etlichen anderen Programmen behobenen Fehler.[/FONT]

    [FONT=&quot]Bei der Umwandlung von Zeichenketten (etwa ein Datum) in eine Fließkommazahl beziehungsweise in ein Array kann ein Angreifer einen Fehler in der aus BSD-Unix stammenden "dtoa"-Routine ausnutzen. Durch eine lange Zeichenkette, die in eine Zahl umgewandelt werden soll, kommt es zu einem Überlauf, der das Ausführen von eingeschleustem Code ermöglichen kann. Für Web-Browser ist Javascript der wesentliche Angriffsvektor. Beispiel-Code ist öffentlich verfügbar, reale Angriffe sind bislang nicht bekannt.[/FONT]
    [FONT=&quot]Es geht also nicht um eine bislang unbekannte Sicherheitslücke sondern um eine, die von diversen anderen Programmen bereits bekannt ist. Betroffen sind zum Beispiel die Unix-Derivate FreeBSD, NetBSD, OpenBSD und Mac OS X, die Browser Chrome, Konqueror (KDE/Linux), Opera und Safari sowie Mozilla-basierte Browser wie Flock, K-Meleon, Seamonkey und Camino (Mac OS X).[/FONT]
    [FONT=&quot]Während die für meisten der genannten Produkte (außer K-Meleon) bereits Updates erhältlich sind, steht die fehlerbereinigte Version Thunderbird 2.0.0.24 noch ohne Veröffentlichungsdatum auf der Ankündigungsliste von Mozilla. In der Vorabversion Thunderbird 2.0.0.24pre ist die Lücke bereits gestopft.[/FONT]
    [FONT=&quot]Da diese Sicherheitslücke auch in Thunderbird 3.0 bereits beseitigt ist, empfiehlt sich der Wechsel zur neuen Generation des Mail-Programms. Die Unterstützung für Thunderbird 2.x wird wohl ohnehin im Laufe des kommenden Jahres auslaufen. [/FONT]
    [FONT=&quot]Firefox soll heute Abend in den neuen Versionen 3.5.6 sowie 3.0.16 erscheinen, Seamonkey in Version 2.0.1.[/FONT]
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. camouflage
    Offline

    camouflage Chef Mod

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    AW: Sicherheitslücke in Thunderbird 2.x

    [FONT=&quot]Kritische Schwachstellen in Firefox und Seamonkey beseitigt[/FONT]
    [FONT=&quot]Die Mozilla-Entwickler haben die neuen Versionen Firefox 3.5.6 und 3.0.16 sowie Seamonkey 2.0.1 bereit gestellt. Darin haben sie eine Reihe von Sicherheitslücken behoben und etliche Bugs beseitigt.[/FONT]
    [FONT=&quot]Mozillas Web-Browser Firefox ist ab sofort in der neuen Version 3.5.6 erhältlich. Die Entwickler haben drei als kritisch eingestufte Sicherheitslücken beseitigt, die auch Seamonkey betreffen. Seamonkey liegt jetzt in der Version 2.0.1 vor. Der ältere Firefox-Zweig 3.0.x ist von den meisten dieser Schwachstellen ebenfalls betroffen. Sie sind in der Version 3.0.16 behoben.[/FONT]

    [FONT=&quot]Zwei der drei als kritisch eingestuften Sicherheitslücken stecken in den mit Firefox 3.5 eingeführten HTML-5-Funktionen. Sie bestehen aus einer ganzen Reihe von Fehlern in den Programmbibliotheken liboggplay und libtheora, die zum Abspielen von in Web-Seiten eingebetteter Mediendateien dienen. Sie könnten von Angreifern ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Seamonkey 2.x basiert auf Firefox 3.5 und daher ebenfalls von diesen Schwachstellen betroffen, Firefox 3.0.x hingegen nicht.[/FONT]
    [FONT=&quot]Eine dritte von den Entwicklern als kritisch angesehene Sicherheitslücke besteht ebenfalls aus mehreren Programmierfehlern. Einige davon können zu Speicherfehlern führen, bei denen die Entwickler nicht völlig ausschließen wollen, dass sie zum Einschleusen von Code geeignet sind. Hiervon sind alle Browser-Varianten betroffen.[/FONT]
    [FONT=&quot]Das gilt auch für die übrigen vier als weniger problematisch eingestuften Schwachstellen. So kann etwa unter Umständen eine SSL-verschlüsselte Verbindung signalisiert werden, obwohl keinerlei Verschlüsselung stattfindet. Dies könnte ein Angreifer zur Vortäuschung falscher Tatsachen ausnutzen, etwa für einen Phishing-Angriff.[/FONT]
    [FONT=&quot]Nutzer von auf Mozilla basierenden Web-Browsern wie Flock oder K-Meleon sollten in nächster Zeit bei den jeweiligen Anbietern nach Aktualisierungen Ausschau halten.[/FONT]
     
    #2

Diese Seite empfehlen