Einzelheiten zu Sicherheitslücken in Mozilla, Firefox und Thunderbird

Zu den im Rahmen des Security Bug Bounty Program gefundenen Sicherheitslücken in der Websuite Mozilla, dem Standalone-Webbrowser Firefox und dem Standalone-E-Mail-Client Thunderbird gibt es in der Mozilla-Fehlerdatenbank mittlerweile nähere Einzelheiten. Die Fehler sind in den neuesten Versionen der Anwendungen (Mozilla 1.7.3, Firefox 1.0PR, Thunderbird 0. bereits behoben. Aufgrund der Schwere der Fehler sollten Anwender so bald als möglich ihre Versionen aktualisieren.


Im Modul "nsMsgCompUtils.cpp" wird die Länge von Puffern mehrfach nicht richtig überprüft, sodass präparierte E-Mails Buffer Overflows provozieren können. Prinzipiell ist damit auch das Einschleusen und Starten von Code möglich. Mit skriptgenerierten Ereignissen in Textfeldern können Angreifer das Clipboards lesen und beschreiben. Manipulierte Vcards überschreiben durch einen Fehler in der Funktion writeGroup() den Stack. Der Preview einer E-Mail kann so zum Ausführen von schädlichem Code führen.

POP3-Server können mit bestimmten Antworten an den POP3-Client einen Pufferüberlauf im Modul nsPop3Protocol.cpp erzeugen. Auch dieser Fehler kann zum Einschleusen von Code dienen. Angreifer können zudem Mails mit überlangen Links, in denen Nicht-ASCII-Zeichen enthalten sind, ausnutzen, um Systeme von Anwendern mit Schadcode zu infizieren.

Auch Mozilla bleibt nicht von Sicherheitslücken bei der Bildverarbeitung verschont. Ein Integer Overflow bei der Anzeige von BMP-Bild-Dateien im Browser oder einer E-Mail führt ebenfalls zu einem Sicherheitsloch, über das sich Anwender Malware einfangen können.

tja.. ich frage mich immer wieder wer hat interesse dieses Browser reinzudrücken??
mfg
Lilo

Mister Ad

agrajag

Was meinst du mit diesem letzten Satz/dieser Frage?

__________________
Today you...Tomorrow me.

Frage: Weißt du wo der Vorteil der Bugs, Fehler und Sicherheitslücken des Firefox sind?

Antwort: Sie werden recht schnell behoben.

Frage: Weißt du wo der Nachteil der Bugs, Fehler und Sicherheitslücken des IEs sind?

Antwort: Sie werden, wenn überhaupt, erst spät behoben.

Meistens sind sie ja schon behoben, bevor sie publik werden. So scheint's ja auch bei diesem Bug zu sein.

Denk nach: Microsoft mit Absolut besten und stärksten Basis braucht länger als ein paar Programierer, Programiererinen.... da stimmt etwas nicht oder??

mfg
Lilo

agrajag

Was soll da nicht stimmen?
In der Tat war es ja wohl bisher immr so, dass Bugs oder schwere Fehler in den Mozillas sehr schnell behoben wurden - was man beim IE nun wirklich nicht behaupten kann.
Außerdem stecken hinter Mozilla nicht "ein paar Programmierer" sondern ein ganzer Pool an Helfern. Ich weiß nicht, wieviele bei Microsoft damit beschäftigt sind den IE zu betreuen...!?


Außerdem intressiert mich immernoch, was du mit diesem grammatikalischen Totalschaden:
sagen wolltest?

mfG
werbegeschenk

__________________
Today you...Tomorrow me.

Hab ich aber grad beim IE noch nicht sehr viel von mitgekriegt. Vielleicht weit verbreitet, und einfach zu bedienen, aber ziemlich fehler- und sicherheitslückenanfällig.

Stimmt, da sollte Microsoft echt mal was tun!

mfg
DaNnYy

.. viele wollen auf Desktop kommen....: früher man hat Datei Managerbenutzt (mit ftp etc die waren super sicher laut EDV Spezis und unerberhlich Microsoft mit Explorer das war doch totale schiess), Bildschimschöner... etc......

Ich finde wenn ich schon Micro... Produkte benutze dann brauche ich keine andere "Spione"

Lilo

imported_Ben

das zitiere ich komplett .. und kann mich da werbegeschenk nur anschließen.

meine klare frage: ist deutsch deine muttersprache?
weiterhin: arbeitest du für microsoft? ^^

__________________
Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

Microsoft is ne riesige Firma mit einem ebensolchen Wasserkopf. Da kann man sich nicht einfach hinsetzen, paar Bugs ausbügeln und die Version zum Download anbieten. Da werden tausend Entscheidungen über alles mögliche gefällt bevor mal ein Byte geschrieben wird.

Das ist der Vorteil, wenn man klein ist. Man ist näher an der Basis und reagiert schneller.