Firefox 32.0.3 & Thunderbird 31.1.2: Mozilla schließt kritische Sicherheitslücke
Mozilla hat das dritte außerplanmäßige Update für Firefox 32 veröffentlicht. Mit der neuen Version reagiert Mozilla auf eine kritische Sicherheitslücke. Auch Thunderbird und SeaMonkey erhalten ein Sicherheitsupdate.
Mozilla schließt mit einer Reihe neuer Updates eine kritische Sicherheitslücke in den Network Security Services (NSS). Die neuen Versionsnummern der Produkte mit geschlossener Sicherheitslücke lauten Firefox 32.0.3, Firefox ESR 31.1.1, Firefox ESR 24.8.1, Thunderbird 31.1.2, Thunderbird 24.8.1 und SeaMonkey 2.29.1. In Thunderbird 31.1.2 wird darüber hinaus ein Problem behoben, welches verursachte, dass Anker-Links in HTML-Mails nicht funktionierten.
Update 25.09.2014: Google hat als Reaktion auf die Sicherheitslücke ein Update für Chrome auf Version 37.0.2062.124 veröffentlicht.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
Anscheinend braucht Firefox 32 besonders viel Pflege. 😀
Könnte man meinen. In dem Fall war aber konkret NSS pflegebedürftig. Nur lässt sich diese Bibliothek leider nicht bei den Nutzern aktualisieren ohne gleich eine neue Firefox-Version zu verteilen. 😉
Moin!
Ich habe die Version 32.0.3, aber seit heute erscheinen in der Adressleiste einige Seiten, auch wichtige, nur noch mit dem grauen Globus und davor dem Zeichen, das normalerweise bei abgestürzten Plugins erscheint, aber nicht mehr mit dem grauen oder grünen Schloss. Kann das am Firefox liegen? Ich weiß mir keinen Rat.
Einige Seiten bedeutet welche Seiten genau?
Update 25.09.2014: Google hat als Reaktion auf die Sicherheitslücke ein Update für Chrome auf Version 37.0.2062.124 veröffentlicht.
Hallo Sören
zum Beispiel web. de, eBay… beim Einloggen ist noch das Schloss, aber eine Sekunde später verschwindet es.
bei camp firefox ist auch nur der Globus zu sehen
Bei Camp Firefox muss der Global zu sehen sein, alles andere wäre falsch. Die Seite läuft schließlich ausschließlich über HTTP: Wenn du eBay auch über HTTP statt HTTPS aufrufst, dann wäre das für diese Seite auch eine Erklärung, der Login selbst läuft wahrscheinlich immer über HTTPS. Ähnliches gilt für web.de. Bist du dir sicher, dass du jeweils die HTTPS-Version der Seite aufrufst?
ich rufe eigentlich, wie seit Jahren, immer und unverändert über die Lesezeichen auf und gebe das nicht jedes Mal neu ein.
Das beantwortet nicht, ob du die Seite über HTTP oder HTTPS aufrufst. Und das Camp Firefox kann niemals ein Schloss statt Globus gehabt haben. 😉
wenn ich auf die Seite von web.de gehe, ist das https, gehe ich dann auf Einloggen, verschwindet alles und es erscheint nur der Globus, dasselbe bei ebay
Das geht ja heute Schlag auf Schlag. Aber erfreulich dass so schnell reagiert wird. 🙂
@deify:
Ich habe es auch versucht, wenn du sich bei e-bay einloggen möchtest, kommt der plugin Container und fragt ob du Flash und Silverlight zulassen möchtest.
Davor kommt schon das grüne Ssl schloß
Noch was zu e-bay, die sind ja nicht einmal in der lage ein sicheres SSL zertifikat berreit zu stellen.
Heute bietet eigentlich niemand mehr eine. RC4 verschlüsselung mehr. Diese wird sogar vom BSi als unsicher eingestuft.
Aber der BSi hat vor kurzem auf seiner Webseite auch noch diese verschlüsselung angeboten, aber inzwischen aber umgestellt.
Leider nutzt mozilla im Add-on Store auch noch diese unsichere Verschlüsselung.
Da hat ja die Webseite von Sören eine bessere Verschlüsselung auf seinem Blog
@Christian T Bei mir wird mit https://addons.mozilla.org/de/firefox/ eine solche Verbindung aufgebaut:
TLS_RSA_WITH_AES_128_CBC_SHA
Ich weiß jedoch dass es bei addons.mozilla.org mal so war dass eine RC4 Verbindung aufgebaut wurde. Die Verschlüsselung ist nicht gerade Optimal, Mozilla selbst empfielt andere Verschlüsselungsmethoden vorher einzusetzen:
https://wiki.mozilla.org/Security/Server_Side_TLS
Die Verschlüsselung die der Firefox mit Sörens Seite eingeht: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ist in der tat viel besser als die von addons.mozilla.org.
ja schon, kann auch sein das Mozilla das geändert hat, wo ich mal geschaut habe da war nor RC4 mit einer grünen Leiste, die nätürlich einiges mehr kostet als andere Zertifikate.
Die Negativbeispiele für schlechte Verschlüselung ist ebay, aber auch Paypal, die beide noch RC4 berreitstellen,was nicht mehr Zeitgemäß ist, und bei diesen 2 Seiten werden Zahlungen und sensible Daten ausgetauscht, wie Bankdaten.
Und das sollte man ordentlich verschlüsseln.
Aber so könnten sich auch amerikanische Ermittlungsbehörden und Geheimndienste an Daten dran, da RC4 leicht zu knacken ist