Wie zu erwarten haben die Mozilla Entwickler schnell auf die letzten bekannt gewordenen Sicherheitslücken reagiert und stellen nun den fehlerbereinigten Firefox 1.0.4 vor. Es handelt sich um eine reine Bugfix-Release, in der zusätzlich zu 3 bekannten Sicherheitslücken noch ein Fehler bei der Verarbeitung von DHTML behoben wurde.

Mozilla Firefox steht in verschiedenen Sprachen (u.a. in Deutsch) für Windows, Linux und MacOS zum Download bereit. Das automatische Update wird sicherlich in wenigen Stunden/Tagen ebenfalls freigeschaltet werden.

Nutzer von Firefox sollten möglichst schnell die neue Version installieren.

Links zum Thema

• Mozilla Download-Seite
• Release Notes der 1.0.4
• Bericht bei Golem.de

In diesem Monat dreht sich auf ego4u alles um Großbritannien. Begleite uns auf unserer Rundreise für Anfänger bzw. für Fortgeschrittene oder informiere dich in unseren Texten über Ereignisse und besonders sehenswerten Gegenden in England, Schottland und Wales. Wenn du einen Großbritannien-Urlaub planst und für wenig Geld viel sehen willst, solltest du unsere Reisetipps keinesfalls verpassen.

Am 5. Mai fanden in Großbritannien und Nordirland die Parlamentswahlen statt. Wir erklären dir, wie im Vereinigten Königreich von Großbritannien die Regierung gewählt wird.

Englischlehrer finden noch mal alle Themen nach Klassenstufen sortiert und mit Tipps, wie die Themen im Unterricht eingesetzt werden können.

Links zum Thema

• Lehrmaterialien zu Großbritannien
• Großbritannien Rundreise (Fortgeschrittene)
• Großbritannien Rundreise (Anfänger)
• Wahlen in Großbritannien
• In Footsteps of ‘Braveheart’
• Budget Britain for Independent Travellers
• Discovering Loch Ness, Scotland
• Festivals and fun for ‘Seabritain 2005’
• Englische Grammatik Online

Das French Security Incident Response Team hat im aktuellen Mozilla-Firefox 1.0.3 eine kritische Sicherheitslücke entdeckt, die es Angreifern erlaubt, beliebigen Code auf dem Rechner des Nutzers zu laden und dort auszuführen. Zusätzlich hat das FrSIRT auch gleich einen Exploit veröffentlicht, der eine Batch-Datei auf Laufwerk C: schreibt und diese dann ausführt.

Die Ursache für die Sicherheitslücke ist ein Problem im Extensions-System von Firefox. Durch einen Fehler kann manipulierter JavaScript-Code im Chrome-Kontext ausgeführt werden. Damit hat er sämtliche Rechte und kann auch auf lokale Dateien zugreifen.

Der Bug 292691 wurde am 2. Mai entdeckt und sollte gemäß den Sicherheitsrichtlinien von Mozilla nicht veröffentlicht werden, bis ein Update zur Verfügung steht. Die genauen Umstände, warum das FrSIRT den Bug und insbesondere einen Exploit schon vorher veröffentlicht hat, sind nicht ganz klar.

Laut Mozilla soll Firefox 1.0.4 in Kürze veröffentlich werden. Bis dahin kann man seinen Firefox sicher machen, indem man die Funktion zum Installieren von Updates erst mal dekativiert.

Sofern man keinen anderen AddOn-Seiten erlaubt hat, Software zu installieren, ist aber selbst das nicht notwendig. Firefox installiert Ereiterungen standardmäßig nur von update.mozilla.org. Anderen Seiten muss man dies explizit erlauben, sodass sich der Bug eigentlich kaum unbemerkt einsetzen lässt.

Links zum Thema

• Firefox Remote Compromise Technical Details von Greyhat-Security
• FrSIRT Advisory
• FrSIRT Proof-of-Concept-Exploit
• MozillaZine: Mozilla Arbitrary Code Executation Security Flaw
• Bericht bei Golem.de