Tag-Archive for » aktualisieren «

Zero-Day-Lücke in Firefox geschlossen

firefox-logoMozilla hat soeben seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Das ist inzwischen schon das zweite Update außer der Reihe für den Feuerfuchs innerhalb einer Woche.

Mit diesem Patch schließen die Entwickler eine vorgestern bekannt gewordene kritische Zero-Day-Lücke, die insbesondere die Nutzer des Browsers als Tor-Browser für das Anonymisierungsnetzwerk The Onion Router (Tor) bedrohte.

Nach dem Security Advisory steckte das Problem in der Browser-Komponente SVG Animation: ein Use-after-free-Bug erlaubte es, Schadcode einzuschleusen und dann auch auszuführen. Davon betroffen sind Firefox 50.0.1 und ältere Versionen, das Extended Support Release 45.5.0 und der Email-Client Thunderbird in Version 45.5.0 und älter.

Das Firefox-Update kann man seit gestern manuell für Windows, Mac OS X und Linux von Mozillas Internetseite herunterladen. Vorhandene Firefox-Installationen sollten sich inzwischen schon automatisch aktualisiert haben.

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren.

Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet.

Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten.

Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen.

Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4.

Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.