17 Reaktionen

Firefox 32.0.3 & Thunderbird 31.1.2: Mozilla schließt kritische Sicherheitslücke

Geschätzte Lesedauer:

Mozilla hat das dritte außerplanmäßige Update für Firefox 32 veröffentlicht. Mit der neuen Version reagiert Mozilla auf eine kritische Sicherheitslücke. Auch Thunderbird und SeaMonkey erhalten ein Sicherheitsupdate.

Mozilla schließt mit einer Reihe neuer Updates eine kritische Sicherheitslücke in den Network Security Services (NSS). Die neuen Versionsnummern der Produkte mit geschlossener Sicherheitslücke lauten Firefox 32.0.3, Firefox ESR 31.1.1, Firefox ESR 24.8.1, Thunderbird 31.1.2, Thunderbird 24.8.1 und SeaMonkey 2.29.1. In Thunderbird 31.1.2 wird darüber hinaus ein Problem behoben, welches verursachte, dass Anker-Links in HTML-Mails nicht funktionierten.

Update 25.09.2014: Google hat als Reaktion auf die Sicherheitslücke ein Update für Chrome auf Version 37.0.2062.124 veröffentlicht.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

16 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Antares
    schrieb am :

    Anscheinend braucht Firefox 32 besonders viel Pflege. 😀

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Könnte man meinen. In dem Fall war aber konkret NSS pflegebedürftig. Nur lässt sich diese Bibliothek leider nicht bei den Nutzern aktualisieren ohne gleich eine neue Firefox-Version zu verteilen. 😉

  3. Deify
    schrieb am :

    Moin!

    Ich habe die Version 32.0.3, aber seit heute erscheinen in der Adressleiste einige Seiten, auch wichtige, nur noch mit dem grauen Globus und davor dem Zeichen, das normalerweise bei abgestürzten Plugins erscheint, aber nicht mehr mit dem grauen oder grünen Schloss. Kann das am Firefox liegen? Ich weiß mir keinen Rat.

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Einige Seiten bedeutet welche Seiten genau?

  5. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Update 25.09.2014: Google hat als Reaktion auf die Sicherheitslücke ein Update für Chrome auf Version 37.0.2062.124 veröffentlicht.

  6. Deify
    schrieb am :

    Hallo Sören

    zum Beispiel web. de, eBay… beim Einloggen ist noch das Schloss, aber eine Sekunde später verschwindet es.

  7. Deify
    schrieb am :

    bei camp firefox ist auch nur der Globus zu sehen

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Bei Camp Firefox muss der Global zu sehen sein, alles andere wäre falsch. Die Seite läuft schließlich ausschließlich über HTTP: Wenn du eBay auch über HTTP statt HTTPS aufrufst, dann wäre das für diese Seite auch eine Erklärung, der Login selbst läuft wahrscheinlich immer über HTTPS. Ähnliches gilt für web.de. Bist du dir sicher, dass du jeweils die HTTPS-Version der Seite aufrufst?

  9. Deify
    schrieb am :

    ich rufe eigentlich, wie seit Jahren, immer und unverändert über die Lesezeichen auf und gebe das nicht jedes Mal neu ein.

  10. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das beantwortet nicht, ob du die Seite über HTTP oder HTTPS aufrufst. Und das Camp Firefox kann niemals ein Schloss statt Globus gehabt haben. 😉

  11. Deify
    schrieb am :

    wenn ich auf die Seite von web.de gehe, ist das https, gehe ich dann auf Einloggen, verschwindet alles und es erscheint nur der Globus, dasselbe bei ebay

  12. Merowinger
    schrieb am :

    Das geht ja heute Schlag auf Schlag. Aber erfreulich dass so schnell reagiert wird. 🙂

  13. Christian.t
    schrieb am :

    @deify:
    Ich habe es auch versucht, wenn du sich bei e-bay einloggen möchtest, kommt der plugin Container und fragt ob du Flash und Silverlight zulassen möchtest.
    Davor kommt schon das grüne Ssl schloß

  14. Christian T
    schrieb am :

    Noch was zu e-bay, die sind ja nicht einmal in der lage ein sicheres SSL zertifikat berreit zu stellen.
    Heute bietet eigentlich niemand mehr eine. RC4 verschlüsselung mehr. Diese wird sogar vom BSi als unsicher eingestuft.
    Aber der BSi hat vor kurzem auf seiner Webseite auch noch diese verschlüsselung angeboten, aber inzwischen aber umgestellt.
    Leider nutzt mozilla im Add-on Store auch noch diese unsichere Verschlüsselung.
    Da hat ja die Webseite von Sören eine bessere Verschlüsselung auf seinem Blog

  15. daiman
    schrieb am :

    @Christian T Bei mir wird mit https://addons.mozilla.org/de/firefox/ eine solche Verbindung aufgebaut:
    TLS_RSA_WITH_AES_128_CBC_SHA
    Ich weiß jedoch dass es bei addons.mozilla.org mal so war dass eine RC4 Verbindung aufgebaut wurde. Die Verschlüsselung ist nicht gerade Optimal, Mozilla selbst empfielt andere Verschlüsselungsmethoden vorher einzusetzen:
    https://wiki.mozilla.org/Security/Server_Side_TLS
    Die Verschlüsselung die der Firefox mit Sörens Seite eingeht: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    ist in der tat viel besser als die von addons.mozilla.org.

  16. Christian .T
    schrieb am :

    ja schon, kann auch sein das Mozilla das geändert hat, wo ich mal geschaut habe da war nor RC4 mit einer grünen Leiste, die nätürlich einiges mehr kostet als andere Zertifikate.

    Die Negativbeispiele für schlechte Verschlüselung ist ebay, aber auch Paypal, die beide noch RC4 berreitstellen,was nicht mehr Zeitgemäß ist, und bei diesen 2 Seiten werden Zahlungen und sensible Daten ausgetauscht, wie Bankdaten.
    Und das sollte man ordentlich verschlüsseln.
    Aber so könnten sich auch amerikanische Ermittlungsbehörden und Geheimndienste an Daten dran, da RC4 leicht zu knacken ist

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.