Angreifer könnten eigenen Code im Kontext von Thunderbird und Firefox ausführen
Wichtige Sicherheitsupdates schließen mehrere Lücken im E-Mail-Client Thunderbird und den Webbrowsern Firefox und Firefox ESR.
Angreifer könnten Firefox, Firefox ESR und Thunderbird in bestimmten Situationen attackieren und im schlimmsten Fall Schadcode ausführen. Klappt das, könnten sie Systeme mit hoher Wahrscheinlichkeit vollständig kompromittieren.
Bei den beiden Webbrowser kann es etwa zu Problemen beim Parsen (CVE-2022-40960 „hoch“) von nicht-UTF8-URLs kommen. In einem nicht näher beschriebenen Angriffsszenario könnte Schadcode auf Systeme gelangen (CVE-2022-40962 „hoch“).
Antworten Opfer auf eine präparierte HTML-Mail mit einem meta Tag, könnten Angreifer darüber Informationen ausschleusen. Aufgrund des Fehler (CVE-2022-3033 „hoch“) könnten sie JavaScript ausführen und darüber Nachrichten lesen oder sogar manipulieren. Nutzer, die die Anzeige des Nachrichtentextes auf simple html oder plain text eingestellt haben, sind von der Lücke nicht betroffen.
In den Versionen Firefox 105, Firefox ESR 102.3 und Thunderbird 91.13.1 und ab Thunderbird 102.2.1 haben die Entwickler die Schwachstellen geschlossen.
Mehr Informationen zu den Sicherheitslücken:
- Geschlossene Schwachstellen in Firefox 102.3
- Geschlossenen Schwachstellen in Firefox 105
- Geschlossene Schwachstellen in Thunderbird 91.13.1
- Geschlossene Schwachstellen in Thunderbird 102.2.1
Weitere Informationen zu den Lücken eingebaut.
Siehe auch:
- Firefox: Download schnell und sicher von heise.de
- Thunderbird: Download schnell und sicher von heise.de
(des)
