Sicherheitsupdates: Firefox und Firefox ESR gegen mögliche Attacken gerüstet
Aufgrund einer Schwachstelle in Firefox könnten Angreifer Opfer noch effektiver auf unverschlüsselte Fake-Websites locken.
(Bild: heise online)
Mozilla hat mehrere Sicherheitslücken in Firefox und Firefox ESR geschlossen. Das Sicherheitsrisiko gilt insgesamt als "hoch". Die abgesicherten Versionen stehen ab sofort zum Download bereit.
Wer die Webbrowser nutzt, sollte sicherstellen, dass die abgesicherte Version Firefox 114 oder Firefox ESR 102.12 installiert ist. Ist das nicht der Fall, könnten Angreifer an zwei Sicherheitslücken (CVE-2023-34416 "hoch", CVE-2023-34417 "hoch") ansetzen und im schlimmsten Fall Computer nach Schadcode-Attacken kompromittieren. Das soll durch vorab ausgelöste Speicherfehler möglich sein. Wie solche Attacken aussehen könnten, bleibt unklar.
Vorsicht: Betrüger-Website
Nutzen Angreifer eine Click-Jacking-Lücke (CVE-2023-34414 "hoch") aus, könnten sie Opfer ohne Webbrowser-Warnung auf unverschlüsselte Betrüger-Websites locken. Der Grund dafür ist eine minimale Verzögerung bei der Darstellung von Warnungen, dass eine Website ein ungültiges TLS-Zertifikat aufweist.
Mit dem richtigen Timing könnten Klicks eines Opfers genau in dem Zeitfenster landen, bevor die Warnung auftaucht und den Zertifikatsfehler so über eine Schaltfläche aufheben, ohne die Warnung zu sehen.
(des)
