Alert!

Angreifer könnten eigenen Code im Kontext von Thunderbird und Firefox ausführen

Wichtige Sicherheitsupdates schließen mehrere Lücken im E-Mail-Client Thunderbird und den Webbrowsern Firefox und Firefox ESR.

In Pocket speichern vorlesen Druckansicht 87 Kommentare lesen
Update
Lesezeit: 1 Min.

Angreifer könnten Firefox, Firefox ESR und Thunderbird in bestimmten Situationen attackieren und im schlimmsten Fall Schadcode ausführen. Klappt das, könnten sie Systeme mit hoher Wahrscheinlichkeit vollständig kompromittieren.

Bei den beiden Webbrowser kann es etwa zu Problemen beim Parsen (CVE-2022-40960 „hoch“) von nicht-UTF8-URLs kommen. In einem nicht näher beschriebenen Angriffsszenario könnte Schadcode auf Systeme gelangen (CVE-2022-40962 „hoch“).

Antworten Opfer auf eine präparierte HTML-Mail mit einem meta Tag, könnten Angreifer darüber Informationen ausschleusen. Aufgrund des Fehler (CVE-2022-3033 „hoch“) könnten sie JavaScript ausführen und darüber Nachrichten lesen oder sogar manipulieren. Nutzer, die die Anzeige des Nachrichtentextes auf simple html oder plain text eingestellt haben, sind von der Lücke nicht betroffen.

In den Versionen Firefox 105, Firefox ESR 102.3 und Thunderbird 91.13.1 und ab Thunderbird 102.2.1 haben die Entwickler die Schwachstellen geschlossen.

Mehr Informationen zu den Sicherheitslücken:

Update

Weitere Informationen zu den Lücken eingebaut.

Siehe auch:

  • Firefox: Download schnell und sicher von heise.de
  • Thunderbird: Download schnell und sicher von heise.de

(des)