Drei der Sicherheitslecks sind in beiden Browser-Versionen zu finden, zwei davon hätten aber zumindest in Firefox 3.5 schon geschlossen sein sollen. Da das offenbar nicht geklappt hat, besser man nun mit Firefox 3.5.2 nach. Eines der beiden Lecks erlaubte es, dem Browser durch fehlerhafte Domainnamen in SSL-Zentifikaten falsche Zertifikate unterzuschieben und so die SSL-Kommunikation zu kompromittieren. Durch das andere Leck konnte die Verarbeitung von Zertifikaten durch bestimmte reguläre Ausdrücke, die nicht dem Standard entsprechen, aber früher von Netscape unterstützt worden, ausgehebelt werden. Ein Angreifer kann das ausnutzen, um eigenen Code zur Ausführung zu bringen.
Beide Lecks wurden auch in Firefox 3.0.13 gestopft. Dazu kommt ein drittes Leck, das beide Browser betrifft, aber als nicht ganz so schwerwiegend wie die beiden anderen eingestuft wird. Dieses erlaubt es einem Angreifer, eigene Inhalte unter einer falschen URL anzuzeigen.
Drei weitere Sicherheitslecks hat der 3.5er Entwicklungszweig exklusiv, auch sie werden mit Firefox 3.5.2 abgedichtet. Dazu zählen unter anderem Speicherfehler und ein Problem im Zusammenspiel mit einigen Erweiterungen, durch die Javascript mit Chrome-Privilegien, also höchsten Rechten, ausgeführt werden kann. (Daniel Dubsky)
dass man den haken aus "als standardbrowser einrichten" rausmachen muss, wenn man den firefox NEU lädt, sei allen internet explorer favoriten angeraten, sonst bekommt man sogar die hotmails im ff *VBG* - wer natürlich nur unter "hilfe/updates suchen" updatet, braucht das nicht
AntwortenLöschen