In der Web-Suite Mozilla werden fortlaufend Schwachstellen behoben. Auf diese Schwachstellen wird üblicherweise nicht in Security-Advisories seitens Mozilla oder GNU/Linux-Distributoren hingewiesen.

Betroffene Systeme

• Systeme, die Mozilla einsetzen

Einfallstor
Verschieden, meist böswillige Webseite und/oder E-Mail-Nachricht.

Auswirkung
Im schlimmsten Fall: Ausführung von beliebigem Programmcode mit den Rechten des Mozilla-Benutzers (remote user compromise).

Typ der Verwundbarkeit
Verschiedene, z.B. Cross-Site Scripting, Verletzung der Same Origin Policy, Buffer Overflows usw.

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Web-Suite Mozilla besteht aus mehreren Komponenten (Web-Browser, Mail-Client, HTML-Editor, Newsreader etc.). In den meisten Komponenten wurden in letzter Zeit Schwachstellen entdeckt, die üblicherweise stillschweigend im Zuge neuer Mozilla-Versionen behoben werden.

Beispielsweise findet sich in den Release Notes zur Version 1.6 der folgende, wenig hilfreiche Hinweis:

Several security-related bugs were fixed in 1.6

Der GNU/Linux-Distributor MandrakeSoft macht nun erstmals mit einem offiziellen Advisory auf einen Teil dieser Probleme aufmerksam, nämlich die, die zwischen den Versionen 1.4 und 1.5 behoben wurden. Von den Schwachstellen, die in den Release Notes von Version 1.6 angedeutet wurden, ist bislang nur eine überhaupt publiziert worden (vgl. Cross-domain exploit on zombie document with eventhandlers).

Es ist im Moment offen, ob weitere Distributoren neben MandrakeSoft überhaupt Sicherheitspatches für Mozilla planen. Bislang liegt nur eine halboffizielle Auskunft von Debian vor, derzufolge für Mozilla keine Sicherheitsupdates geplant sind, da dies nicht im Verhältnis zum notwendigen Aufwand steht (Debian vertreibt noch Mozilla 1.0.0, mit einer entsprechend langen Liste vorhandener Schwachstellen).

Gegenwärtig ist zumindest in Sicherheitsfragen Mozilla offensichtlich keine überzeugende Alternative zum Marktführer. In einem Fall sind die Schwachstellen sogar so ähnlich, daß ein Exploit gegen Internet Explorer auch gegen Mozilla unter Windows erfolgreich ist (und auch tatsächlich zur Installation von sogenannter Dialer-Software eingesetzt wurde).

Update: Obiger Absatz wurde offenbar so interpretiert, daß vom Einsatz von Mozilla Abstand genommen werden soll. Wir wollten lediglich darauf hinweisen, daß auch Mozilla keine Lösung für die Sicherheitsprobleme darstellt, die derzeit alle Clients plagen. Insbesondere benötigt selbst Mozilla regelmäßige Sicherheitsupdates, die nicht von allen Distributoren bereitgestellt werden.

Gegenmaßnahmen

• Die folgenden Distributoren veröffentlichten bislang Sicherheitsupdates:
  • MandrakeSoft

    Dieses Update scheint jedoch nicht alle Probleme zu beheben, da ein Patch für den Mozilla-Bug 227417 nicht explizit aufgeführt wird.

• Upgrade auf Mozilla 1.6.

  Generell empfiehlt es sich, trotz fehlender Advisories regelmäßig die Mozilla-Installation auf den neuesten Stand zu bringen, da (wie oben beschrieben) auch bei kritischen Problemen keine Advisories veröffentlicht werden.

• Einsatz von sich in Entwicklung befindlichen Distributionen wie Debian/unstable (sid), die in der Regel die neuesten Mozilla-Versionen enthalten. (Debian bietet aber offiziell gar keine Sicherheitsupdates für Debian/unstable an. In der Regel werden bei Sicherheitsproblemen neue Versionen zeitnah zur Verfügung gestellt, allerdings nicht für Debian/testing.)

Vulnerability ID

• Sandblad #13: Cross-domain exploit on zombie document with eventhandlers
• Mozilla Bug 220257
• Mozilla Bug 221526, auch CAN-2003-0791

Revisionen dieser Meldung

• V 1.0 (2004-03-11)
• V 1.1 (2004-03-11) Klarstellung des Fazits

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/