Firefox 3 bricht Rekorde, dann selbst

Illustration: Harry CampbellMozillas Firefox 3 hat nach seiner jüngsten Veröffentlichung an einem einzigen Tag einen neuen Rekord für Browser-Downloads gesetzt: mehr als 8 Millionen Kopien in nur 24 Stunden. Es ist also keine Überraschung, dass Hacker heutzutage mehr Zeit für die Suche nach Firefox-Löchern aufwenden.

Mozilla hat Updates für zwei Sicherheitslücken in Firefox 2 und 3 veröffentlicht. Die erste Korrektur verhindert, dass Firefox durch das Senden von mehr Pipes abstürzt (die vertikale oder "|") Zeichen, die der Browser verarbeiten kann. Die zweite Sicherheitslücke birgt ein ähnliches Overflow-Angriffsrisiko.

Keiner der beiden Bugs hat bisher echte, in-the-wild-Angriffe ausgelöst; Aber wenn beide nicht fixiert sind, kann der Besuch einer vergifteten Webseite Ihren PC mit Malware infizieren. Stellen Sie sicher, dass Sie über die neueste Browserversion verfügen, indem Sie auf Help, Check for Updates klicken (die Versionen 2.0.0.16 und 3.0.1 enthalten diese Updates).

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Opera Reprise

Firefox ist nicht der einzige Browser im Patching-Modus in diesem Monat: Opera 9.51 korrigiert einen Sicherheits-Fehler, der in der gerade veröffentlichten Version 9.5 als "mäßig schwer" eingestuft wurde. Opera hat es abgelehnt, Details über den Fehler zu veröffentlichen, um Hacker nicht zu kippen; Gott sei Dank, der Patch ist älter als echte Angriffe.

Version 9.51 behebt auch einige Stabilitätsprobleme und einen Fehler, der dazu führen kann, dass ein schlechter Kerl zufällige Teile des PC-Speichers liest und möglicherweise vertrauliche Informationen preisgibt. Verwenden Sie Operas Hilfe, Nach Updates suchen, um festzustellen, ob Sie ein Update benötigen. Um es zu bekommen, müssen Sie die neueste Vollversion manuell herunterladen und installieren.

Im Gegensatz zu den Firefox- und Opera-Bugs wird gerade ein Microsoft Word-Loch angegriffen. Zum Zeitpunkt der Drucklegung untersuchte Microsoft Berichte über Zero-Day-Angriffe gegen Word 2002 SP3-Benutzer (alle anderen unterstützten Versionen von Word sind davon nicht betroffen).

Wie bei vielen Office-Fehlern müssen Sie ein vergiftetes Word-Dokument senden per E-Mail oder als Download angeboten zu werden. Weitere Informationen zu diesem Fehler finden Sie im Microsoft Advisory.

Eine weitere Zero-Day-Bedrohung

Microsoft untersucht einen anderen Zero-Day-Angriff, bei dem ein Loch im ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Access ausgenutzt wird. Das Unternehmen sagt, dass es begrenzte, gezielte Angriffe gegeben hat, die den Fehler durch Internet Explorer auslösen. Wenn Sie eine schädliche Webseite anzeigen, kann Ihr System vollständig kompromittiert werden, und Sie sind gefährdet, wenn Access 2000, 2002 oder 2003 installiert ist oder wenn Sie den Snapshot Viewer für Microsoft Access selbst heruntergeladen haben, um Access-Berichte in IE zu lesen.

Wie bei allen Zero-Day-Schwachstellen ist noch kein Patch verfügbar. Microsoft schlägt einige weitgehend ungenießbare Problemumgehungen vor, die das Deaktivieren von Active Scripting in IE, die Aufforderung vor dem Ausführen von Active Scripting oder das Bearbeiten der Windows-Registrierung, um nur dieses bestimmte ActiveX-Steuerelement zu deaktivieren, enthalten (Anweisungen finden Sie im Advisory). Seien Sie vorsichtig mit der Problemumgehung in der Registrierung, da ein Fehler bei der Bearbeitung der Registrierung Windows behindern oder sogar beschädigen kann.

Einen Hardware- oder Softwarefehler gefunden? Senden Sie uns eine E-Mail an [email protected].