audio-video-disco

… und macht auch gleich ein paar Sicherheitslücken dicht. Insgesamt 9 Bugs haben die Entwickler der Mozilla Foundation in der neue FireFox Version 3.0.4 bereinigt, vier davon wurden von den Entwicklern als kritisch eingestuft, darunter auch ein klassischer Buffer Overflow, der beim Parsen präparierter Server-Antworten auftritt.

Eine Übersicht über alle geschlossenen Lücken gibt es im Security Advisories für Firefox 3.0.

Wie immer kann die neue Version ab sofort von den Servern der Mozilla Foundation in diversen Sprachen für Mac, Windows und Linux heruntergeladen werden – alternativ läßt sich auch das eingebaute automatische Update des Browsers bemühen.

[via golem.de]

Für das Blogsystem WordPress sind zwei neue Versionen veröffentlicht worden.

Die Version 2.2.2 sowie die Version 2.0.11 sind als reine Sicherheitsreleases gekennzeichnet und beheben unter anderem die kürzlich aufgetauchten Sicherheitslücken in den aktuellen WP-Versionen. Ein Upgrade wird daher allen Benutzern dringend empfohlen!

Für alle User der deutschen WordPress-Version steht wie immer neben dem Full-Update auch ein Update-Pack zur Verfügung, das lediglich die geänderten Dateien zur Vorgängerversion beinhaltet.

Eine Liste aller behobenen Fehler gibt es im WordPress-Trac, das offizielle Statement der Entwickler gibt´s wie immer auf WordPress.org.

[via Michael-Seitz.org]

Billy Rios und Nate McFeters haben in ihrem Blog einen Bug im Mozilla veröffentlicht, mit dem sich über bestimmte URLs beliebige Programme starten lassen.

Die Ursache scheint dabei in der Verarbeitung von bestimmten Web-Protokollen (mailto:, news:, etc.) zu stecken. Enthält ein Link die Zeichenfolge “%00” und wurde auf dem System z.B. kein externes Mail-Programm installiert das sich für die Verarbeitung solcher URLs verantwortlich zeigt, so ist es damit möglich, beliebige lokale Programme auszuführen.

In den von Billy und Nate aufgeführten Beispielen startet nach einem Klick auf einen Link ohne Vorwarnung die Console und anschließend der Taschenrechner von Windows.

Der Bug ist sowohl in der aktuellen FireFox Version 2.0.0.5 sowie im Netscape Navigator 9 und Mozilla vorhanden, getestet wurde er allerdings nur unter WinXP mit SP2.

In Bugzilla gibt es inzwischen einen entsprechende Eintrag, so das das nächste Mozilla/FireFox Update nicht mehr lange auf sich warten lassen dürfte.

Update
Auf heise.de gibt es noch einen etwas ausführlicheren Bericht zu dieser Problematik

[via Mozilla Security Blog]

Die Mozilla-Foundation hat die Version 2.0.0.5 des alternativen Browsers FireFox veröffentlicht. Neue Funktionen gibt es zwar nicht, laut ChangeLog wurden aber 8 Bugs behoben, darunter auch das Problem mit “firefoxURL://” bzw. “firefoxHTML://”.

Die neue Version ist ab sofort über das automatische inkrementelle Update verfügbar oder kann von den Servern der Mozilla-Foundation in diversen Sprachversionen heruntergeladen werden.

Kaum wurde die Beta-Version des Safari-Browsers für die Windows veröffentlicht, da sind bereits zahlreiche Sicherheitslecks im neuen AppleWindows-Browser aufgetaucht:

• Thor Larholm fand einen Bug, mit dem Angreifer beliebigen Programmcode ausführen und somit Kontrolle über ein fremdes Windows-System verschaffen können. Dazu reicht lediglich der Aufruf einer präparierte Webseite.
• Auch Aviv Raff hat es geschafft, den Browser gezielt zum Absturz zu bewegen. Ob sich dadurch auch Schadcode ausführen lässt, ist bislang noch nicht bekannt.
• Und David Maynor von Errata Security fand gleich sechs Schwachstellen, vier davon lassen sich für Denial-of-Service-Angriffe ausnutzen.

Angesichts des Apple-Versprechens, der Safari sei vom ersten Tag an sicher

[...] Now you can enjoy worry-free web browsing on any computer. Apple engineers designed Safari to be secure from day one. [....]

wirkt das Ganze wie ein Schlag ins Gesicht der Apple-Entwickler.

Zugegeben, der neue Browser ist noch in der Beta-Phase, aber vielleicht hätte sich Apple mit Aussagen über die Sicherheit des WinSafari vielleicht bis zur Final etwas zurückhalten sollen. Sicherheitslücken in Browsern werden in der heutigen Zeit gesucht wie Goldnuggets damals am Klondike River, das konnte Microsoft nach dem Release der neuen 7er Version des IE feststellen. Damals hat es zumindest noch 24 Stunden gedauert, bis die erste Sicherheitslücke publik wurde, bei Apple`s Safari für Windows waren es nur noch 2 Stunden und somit fast Rekordverdächtig.

Es bleibt abzuwarten, in wie Weit sich der entstandene Image-Schaden auf die Verbreitung des Browsers auswirken wird. Das es einer ist, brauche ich wohl nicht extra zu betonen.

[via Golem.de]