Firefox- und Thunderbird-Updates schlieĂźen Sicherheitslecks
Die Mozilla-Entwickler schlieĂźen in aktualisierten Versionen von Firefox und Thunderbird viele SicherheitslĂĽcken. Einige davon stufen sie als hohes Risiko ein.
In den neuen Versionen Firefox 97, Firefox ESR 91.6 und Thunderbird 91.6 dichten die Programmierer der Mozilla Foundation Sicherheitslücken ab. Die Schwachstellen stellen teils ein hohes Risiko dar und könnten laut Einschätzung der Mozilla-Entwickler möglicherweise von Angreifern missbraucht werden, um Schadcode einzuschleusen und auszuführen.
Insgesamt beheben die aktualisierten Fassungen 13 Fehler mit Sicherheitsbezug. Die Webseite zu den Sicherheitslücken, die in Thunderbird 91.6 geschlossen wurden, ist derzeit noch nicht auf neuem Stand. Da der Code jedoch auf Firefox ESR 91.6 basiert, wurden auch die Schwachstellen in dessen Vorgängerversion damit ausgebessert. Auf jeweils einer eigenen Webseite listen die Mozilla-Entwickler die abgedichteten Schwachstellen in Firefox 97 sowie in Firefox ESR 91.6 auf.
Ăśbersicht der geschlossenen SicherheitslĂĽcken
Schwachstellen, die sowohl Firefox 97, ESR 91.6 sowie Thunderbird 91.6 schlieĂźen:
- Nicht näher erläuterte Sicherheitsfehler bei der Speicherverwaltung. Die Entwickler schätzen, dass Angreifer dadurch mit etwas Aufwand Schadcode hätten einschleusen und ausführen können (CVE-2022-22764, Risiko hoch)
- Rechtausweitung unter Windows zu SYSTEM durch den Maintenance Service (CVE-2022-22753, hoch)
- Erweiterungen hätten Berechtigungsbestätigungen während eines Updates umgehen und sich so neue Rechte zuschustern können (CVE-2022-22754, hoch)
- Bei Nutzung von Drag&Drop bei einem Bild hätte das Objekt auf dem lokalen Desktop oder Ordner am Ende ein ausführbares Skript sein und so nach Anklicken des Nutzers beliebigen Code ausführen können (CVE-2022-22756, mittel)
- Eine Webseite, die iframes in einer Sandbox ohne Option
allow-scripts
erzeugt, hätte durch Anhängen weiterer Elemente wie einem JavaScript-Event-Handler diesen trotz Sandbox ausführen können (CVE-2022-22759, mittel) - Webseiten hätten unbefugt an Informationen gelangen können, da Cross-Origin-Antworten zwischen Skript- und Nicht-Skript-Inhalten unterschiedlich waren (CVE-2022-22760, mittel)
- Die frame-ancestor-Sicherheitsrichtlinie wurde beim Aufruf von Erweiterungs-Webseiten (Seiten mit moz-extension://-Schema) nicht korrekt umgesetzt (CVE-2022-22761, mittel)
SicherheitslĂĽcken, die Firefox 97 abdichtet:
- Nicht näher erläuterte Fehler bei der Speicherverwaltung, die Angreifer womöglich zum Einschleusen von Schadcode missbrauchen hätten können (CVE-2022-0511, hoch)
- Ein manipulierter Webserver hätte XSL-Dokumente ausliefern können, das JavaScript auch nach dem Schließen des Tab weiter ausführen könnte (CVE-2022-22755, mittel)
- Der Remote Agent der Komponente Web Driver hinderte Seiten nicht daran, lokale Verbindungen aufzubauen und so den Browser zu kontrollieren – Web Driver ist standardmäßig jedoch nicht aktiviert (CVE-2022-22757, mittel)
- "tel:"-Links hätten USSD-Codes (Steuercodes im GSM-Netz) an die Wählkomponente von Firefox für Android senden und so je nach Telefonabieter Konfigurationsänderungen für Telefonie vornehmen können (CVE-2022-22758, mittel)
- JavaScript-Dialoge in Firefox für Android hätten über anderen Domains angezeigt werden können
- (CVE-2022-22762, niedrig)
Und schlieĂźlich der mit Firefox ESR 91.6 und Thunderbird 91.6 behobene Fehler:
- Beim Beenden eines sogenannten Worker konnte Skript-Code ausgeführt werden, obwohl das zu diesem Zeitpunkt nicht mehr möglich sein sollte (CVE-2022-22763, mittel)
Updates installieren
Da die aktualisierten Fassungen Sicherheitslücken schließen, durch die Angreifer arglosen Nutzern Schadcode unterschieben könnten, sollten Anwender und Administratoren diese zügig einrichten. Die Programme sollten sich nach einer gewissen Zeit zwar selbst aktualisieren, aber die Zeitspanne bis dahin könnten Cyberkriminelle gegebenenfalls für Angriffe nutzen.
Nutzer können durch Klick auf das "Hamburger"-Menü, dem Symbol mit den drei horizontalen Strichen oben rechts im Browser, und anschließender Auswahl von "Hilfe" und dann auf "Über Firefox" (respektive "Über Thunderbird") prüfen, ob der Browser oder das Mailprogramm auf dem aktuellen Stand sind. Gegebenenfalls stößt das den Download und die Installation der Aktualisierung an.
Siehe auch:
- Firefox: Download schnell und sicher von heise.de
- Thunderbird: Download schnell und sicher von heise.de
Themenseite zu Firefox auf heise online
(dmk)