Alert!

Firefox & Thunderbird: Sicherheitsrelevante Updates für Browser & E-Mail-Client

Mozilla hat Firefox 88 nebst ESR-Pendant sowie Thunderbird 78.10 veröffentlicht. Im Gepäck haben die Releases unter anderem auch wichtige Schwachstellen-Fixes.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.

Seit dem gestrigen Montag sind neue Versionen des beliebten Web-Browsers Firefox verfügbar. Neben funktionalen Updates hat Mozilla dem frisch erschienenen Firefox 88 und dem Extended Support Release (ESR) 78.10 auch sicherheitsrelevante Fixes spendiert. Gleiches gilt für den ebenfalls seit gestern verfügbaren Thunderbird 78.10. Geschlossen wurden mehrere Sicherheitslücken, von denen teilweise ein hohes Risiko ausgeht.

Aus allen drei neuen Versionen übereinstimmend getilgt wurden zwei "High"-Lücken mit den CVE-IDs CVE-2021-23994 und CVE-2021-23995. CVE-2021-23994 fußt auf einer verspäteten Initialisierung des WebGL-Framebuffers, die schreibende Zugriffsmöglichkeiten auf Speicherbereiche außerhalb des vorgesehenen Bereiches ("Out-of-bounds Write") gewähren könnte. Mögliche Konsequenzen nennt Mozilla nicht; denkbar wären aber etwa Browser-Abstürze oder eine unbefugte Codeausführung. CVE-2021-23995 (Use-after-free) könnte Angreifern bei aktiviertem Responsive Design Mode Möglichkeiten zur beliebigen Codeausführung verschaffen.

Aus Firefox 88 wurden zusätzlich zwei weitere Highlücken beseitigt: CVE-2021-23996 hätte zur Darstellung von Inhalten außerhalb des Viewports, also des normalen Anzeigebereichs des Browsers, und damit etwa für Phishing missbraucht werden können. CVE-2021-23997 ("Use-after-free when freeing fonts from cache") schließlich bot eine weitere Ansatzmöglichkeit zur Ausführung schädlichen Codes – "with enough effort", wie Mozilla im Advisory einschränkend hinzufügt.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Kurzbeschreibungen aller Sicherheitslücken, einschließlich jener mit "Low"- und "Moderate"-Einstufung, finden Interessierte wie immer in den aktuellen Security Advisories:

Der neuen Firefox-Version haben wir zusätzlich noch eine separate Meldung gewidmet, die sich mit den funktionalen Neuerungen befasst:

Siehe dazu auch:

  • Firefox: Download sicher und schnell von heise.de
  • Firefox ESR: Download sicher und schnell von heise.de

(ovw)