Die Mozilla Foundation hat die Firefox-Version 3.0.4 freigegeben, in der neun Sicherheitslücken beseitigt sind. Vier davon stufen die Entwickler als kritisch ein, da ein Angreifer dadurch seinen Code auf dem System seines Opfers ausführen kann. Einer der kritischen Fehler ist ein klassischer Buffer Overflow, der beim Parsen präparierter Server-Antworten auftritt.
* Machen Sie Windows XP Clients fit für Online Transaktionen
Dieses Whitepaper befasst sich mit der Verhaltensweise von EV Upgrader und wie er die Root-Installation in Windows XP-Betriebssystemen initiiert.
* Datenschutz und SSL: Vertrauen als Wettbewerbsvorteil
Dieses Whitepaper behandelt das Thema „Vertrauen im Geschäftsleben“. Sie erfahren wie Sie das Vertrauensverhältnis zu Kunden, Partnern und Lieferanten stärken können.
* Allerneueste Entwicklungen in der SSL-Technologie
In diesem Paper werden einige dieser Entwicklungen erläutert, damit Sie entscheiden können, welcher SSL-Typ sich am besten für Ihr Unternehmen eignet.

Ein Fehler in der Sitzungswiederherstellung des Browsers nach einem Absturz kann dazu führen, dass Firefox beim Ausführen von JavaScripts die Same-Origin-Policy verletzt und der Code im Kontext einer anderen Site läuft. Angreifer könnten aus der Ferne durch einen gezielten Absturz und anschließenden Neustart etwa die Zugangsdaten zu anderen Webseiten stehlen.

Bei zwei der kritischen Lücken wurden zwar bislang nur Abstürze beobachtet, die Entwickler vermuten aber, dass sich die Fehler auch zum Einschleusen und Ausführen von Code missbrauchen lassen, da es sich um Speicherfehler (Memory Corruptions) handelt. Durch einen Fehler in der Same-Origin-Prüfung in der Funktion nsXMLHttpRequest::NotifyEventListeners können Angreifer ebenfalls JavaScript im Kontext der falschen Seite ausführen, jedoch stufen die Entwickler das Problem nur als "hoch" ein.

In Firefox 2.0.0.18 und SeaMonkey 1.1.13 wurden zwei zusätzliche kritische Lücken geschlossen, wovon beide auf Speicherfehler zurückzuführen sind und hauptsächlich Abstürze verursachen, der Missbrauch zur Infektion eines Systems jedoch nicht ausgeschlossen wird. Unter anderem können präparierte Shockwave-Dateien das Flash-Modul entladen, den Browser aber noch auf den eigentlich nicht mehr gemappten Speicherbereich zugreifen lassen.

Mehrere der Fehler finden sich auch im Mail-Client Thunderbird und sollen in der Version 2.0.0.18 behoben werden. Üblicherweise erscheint eine aktualisierte Thunderbird-Version jedoch erst einige Tage nach den Browser-Release – so auch diesmal.

Anwender der Firefox-Version 2.x sollten ein Upgrade auf Version 3.x ins Auge fassen, da die Entwickler weiterhin das Ende des Supports für 2.x für Mitte Dezember ankündigen. Dann gibt es auch keine Sicherheits-Update mehr. Zwar hatten die Entwickler über eine mögliche Verlängerung des Support-Zeitraums diskutiert, auch weil Thunderbird noch auf die alte Gecko-Engine setzt, offenbar hat man sich jedoch noch nicht dazu durchringen können.