Firefox & Thunderbird: Sicherheitsrelevante Updates fĂĽr Browser & E-Mail-Client
Mozilla hat Firefox 88 nebst ESR-Pendant sowie Thunderbird 78.10 veröffentlicht. Im Gepäck haben die Releases unter anderem auch wichtige Schwachstellen-Fixes.
Seit dem gestrigen Montag sind neue Versionen des beliebten Web-Browsers Firefox verfĂĽgbar. Neben funktionalen Updates hat Mozilla dem frisch erschienenen Firefox 88 und dem Extended Support Release (ESR) 78.10 auch sicherheitsrelevante Fixes spendiert. Gleiches gilt fĂĽr den ebenfalls seit gestern verfĂĽgbaren Thunderbird 78.10. Geschlossen wurden mehrere SicherheitslĂĽcken, von denen teilweise ein hohes Risiko ausgeht.
Potenzial fĂĽr unbefugte CodeausfĂĽhrung und AbstĂĽrze
Aus allen drei neuen Versionen übereinstimmend getilgt wurden zwei "High"-Lücken mit den CVE-IDs CVE-2021-23994 und CVE-2021-23995. CVE-2021-23994 fußt auf einer verspäteten Initialisierung des WebGL-Framebuffers, die schreibende Zugriffsmöglichkeiten auf Speicherbereiche außerhalb des vorgesehenen Bereiches ("Out-of-bounds Write") gewähren könnte. Mögliche Konsequenzen nennt Mozilla nicht; denkbar wären aber etwa Browser-Abstürze oder eine unbefugte Codeausführung. CVE-2021-23995 (Use-after-free) könnte Angreifern bei aktiviertem Responsive Design Mode Möglichkeiten zur beliebigen Codeausführung verschaffen.
Aus Firefox 88 wurden zusätzlich zwei weitere Highlücken beseitigt: CVE-2021-23996 hätte zur Darstellung von Inhalten außerhalb des Viewports, also des normalen Anzeigebereichs des Browsers, und damit etwa für Phishing missbraucht werden können. CVE-2021-23997 ("Use-after-free when freeing fonts from cache") schließlich bot eine weitere Ansatzmöglichkeit zur Ausführung schädlichen Codes – "with enough effort", wie Mozilla im Advisory einschränkend hinzufügt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Advisories im Ăśberblick
Kurzbeschreibungen aller SicherheitslĂĽcken, einschlieĂźlich jener mit "Low"- und "Moderate"-Einstufung, finden Interessierte wie immer in den aktuellen Security Advisories:
- Mozilla Security Advisory: Firefox 88
- Mozilla Security Advisory: Firefox ESR 78.10
- Mozilla Security Advisory: Thunderbird 78.10
- Firefox-Update durchfĂĽhren (heise Tipps+Tricks)
Der neuen Firefox-Version haben wir zusätzlich noch eine separate Meldung gewidmet, die sich mit den funktionalen Neuerungen befasst:
Siehe dazu auch:
- Firefox: Download sicher und schnell von heise.de
- Firefox ESR: Download sicher und schnell von heise.de
(ovw)