Nachdem die letzten Tage viel Wirbel um den 7er Browser des Microsoft Riesen bezüglich des Sicherheitsupdate gemacht wurde, hier: der Zero-Day-Exploit, haben nun auch die Firefox Entwickler die Version 3.0.5 als Fully Localized Versions zum download vorgelegt.

In der Version wurden insgesamt acht (8) Sicherheitslücken geschlossen, wovon drei (3) als critical eingestuft wurden. Zwei (2) davon konnten Same-Origin-Policy aushebeln und somit das Ausführen von Java Script im Kontext anderer Seiten ermöglichen, d.h. die Sicherheitsücken können nur dann ausgenutzt werden, wer JavaScript im Browser aktiviert hat - was in der Regel standard ist.

Die dritte (3.) kritische Sicherheitsücke ist auf Fehler in der Browser-Engine zurückzuführen, die in der Regel zum Absturz des Browsers führen.

Einige dieser Abstürze gaben Hinweise auf Speicher Korruption. D.h. mit genügend Anstrengung und Wissen können durch Verarbeitung von XUL-Elementen Angreifer Cookies auf fremden Systemen speichern und ausführen. Diese werden von manipulierten Webseiten gelesen um so etwa das Browserverhalten des Users zu beobachten.

Eine vierte (4.) als weniger kritisch eingestufte Lücke, ermöglicht Java Scripten auf einer bösartigen Seite den Cross-Domain-Zugriff auf Daten nach einem Redirect auf andere Seiten.