Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1183

[Generic/Mozilla] Zahlreiche Schwachstellen in Mozilla (Update)
(2004-03-10 21:26:07.084874+00)

Quelle: http://www.mozilla.org/projects/security/known-vulnerabilities.html

In der Web-Suite Mozilla werden fortlaufend Schwachstellen behoben. Auf diese Schwachstellen wird üblicherweise nicht in Security-Advisories seitens Mozilla oder GNU/Linux-Distributoren hingewiesen.

Betroffene Systeme

Einfallstor
Verschieden, meist böswillige Webseite und/oder E-Mail-Nachricht.

Auswirkung
Im schlimmsten Fall: Ausführung von beliebigem Programmcode mit den Rechten des Mozilla-Benutzers (remote user compromise).

Typ der Verwundbarkeit
Verschiedene, z.B. Cross-Site Scripting, Verletzung der Same Origin Policy, Buffer Overflows usw.

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Web-Suite Mozilla besteht aus mehreren Komponenten (Web-Browser, Mail-Client, HTML-Editor, Newsreader etc.). In den meisten Komponenten wurden in letzter Zeit Schwachstellen entdeckt, die üblicherweise stillschweigend im Zuge neuer Mozilla-Versionen behoben werden.

Beispielsweise findet sich in den Release Notes zur Version 1.6 der folgende, wenig hilfreiche Hinweis:

Several security-related bugs were fixed in 1.6

Der GNU/Linux-Distributor MandrakeSoft macht nun erstmals mit einem offiziellen Advisory auf einen Teil dieser Probleme aufmerksam, nämlich die, die zwischen den Versionen 1.4 und 1.5 behoben wurden. Von den Schwachstellen, die in den Release Notes von Version 1.6 angedeutet wurden, ist bislang nur eine überhaupt publiziert worden (vgl. Cross-domain exploit on zombie document with eventhandlers).

Es ist im Moment offen, ob weitere Distributoren neben MandrakeSoft überhaupt Sicherheitspatches für Mozilla planen. Bislang liegt nur eine halboffizielle Auskunft von Debian vor, derzufolge für Mozilla keine Sicherheitsupdates geplant sind, da dies nicht im Verhältnis zum notwendigen Aufwand steht (Debian vertreibt noch Mozilla 1.0.0, mit einer entsprechend langen Liste vorhandener Schwachstellen).

Gegenwärtig ist zumindest in Sicherheitsfragen Mozilla offensichtlich keine überzeugende Alternative zum Marktführer. In einem Fall sind die Schwachstellen sogar so ähnlich, daß ein Exploit gegen Internet Explorer auch gegen Mozilla unter Windows erfolgreich ist (und auch tatsächlich zur Installation von sogenannter Dialer-Software eingesetzt wurde).

Update: Obiger Absatz wurde offenbar so interpretiert, daß vom Einsatz von Mozilla Abstand genommen werden soll. Wir wollten lediglich darauf hinweisen, daß auch Mozilla keine Lösung für die Sicherheitsprobleme darstellt, die derzeit alle Clients plagen. Insbesondere benötigt selbst Mozilla regelmäßige Sicherheitsupdates, die nicht von allen Distributoren bereitgestellt werden.

Gegenmaßnahmen

Vulnerability ID

(Diese Liste stellt nur eine grobe Übersicht dar.)

Revisionen dieser Meldung

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1183