Mozilla patcht zwei kritische Löcher in Firefox-Authentifizierung

Angreifer könnten durch falsche Zertifikate beliebigen Code einspielen, ein Update vortäuschen oder verschlüsselte Passwörter auslesen. Sowohl Firefox 3 als auch 3.5 ist betroffen. Mozilla rät dringend zum Update.

Mozilla^[1] hat seine derzeit parallel veröffentlichten Firefox-Browser 3 und 3.5 aktualisiert, um eine kritische Sicherheitslücke zu schließen. Die Patches bringen Firefox auf Version 3.5.2^[2] beziehungsweise 3.0.13^[3].

"Wir empfehlen allen Firefox-Anwendern dringend, auf die neuste Version upzugraden", heißt es in einem Blogpost^[4] mit der Ankündigung.

Die erste Schwachstelle^[5] erlaubt es Angreifern, beliebigen Code auf dem System eines Anwenders auszuführen. Dazu müssen sie ihm nur speziell präparierte Authentifizierungsinformationen - ein Zertifikat - zukommen lassen.

Die zweite Lücke^[6] steckt ebenfalls in der Authentifizierung durch Zertifikate. Ein Angreifer könnte dadurch Zugang zu verschlüsselten Informationen bekommen (Passwörtern, Zugangsdaten etwa für Onlinebanking und dergleichen) oder ein falsches Firefox-Update einspielen. Sie war letzte Woche entdeckt worden.

Zum Download:

• Firefox 3.5.2^[7]
• Firefox 3.0.13^[8]
URLs in diesem Artikel:
[1] = http://www.mozilla.org
[2] = http://www.mozilla.org/security/known-vulnerabilities/firefox35.html#firefox3.5.2
[3] = http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.13
[4] = http://blog.mozilla.com/blog/2009/08/03/firefox-3-5-2-and-3-0-13-security-updates-now-available-for-download/
[5] = http://www.mozilla.org/security/announce/2009/mfsa2009-43.html
[6] = http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
[7] = http://www.zdnet.de/sicher_browsen_mozilla_firefox_download-39002345-92246-1.htm
[8] = http://www.zdnet.de/sicher_browsen_mozilla_firefox_download-39002345-89006-1.htm