Alert!

Firefox- und Thunderbird-Updates schlieĂźen Sicherheitslecks

Die Mozilla-Entwickler schlieĂźen in aktualisierten Versionen von Firefox und Thunderbird viele SicherheitslĂĽcken. Einige davon stufen sie als hohes Risiko ein.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Aufmacherbild FF 97, FF 91.6 LTS & TB 91.6

(Bild: Shutterstock)

Lesezeit: 4 Min.
Von

In den neuen Versionen Firefox 97, Firefox ESR 91.6 und Thunderbird 91.6 dichten die Programmierer der Mozilla Foundation Sicherheitslücken ab. Die Schwachstellen stellen teils ein hohes Risiko dar und könnten laut Einschätzung der Mozilla-Entwickler möglicherweise von Angreifern missbraucht werden, um Schadcode einzuschleusen und auszuführen.

Insgesamt beheben die aktualisierten Fassungen 13 Fehler mit Sicherheitsbezug. Die Webseite zu den Sicherheitslücken, die in Thunderbird 91.6 geschlossen wurden, ist derzeit noch nicht auf neuem Stand. Da der Code jedoch auf Firefox ESR 91.6 basiert, wurden auch die Schwachstellen in dessen Vorgängerversion damit ausgebessert. Auf jeweils einer eigenen Webseite listen die Mozilla-Entwickler die abgedichteten Schwachstellen in Firefox 97 sowie in Firefox ESR 91.6 auf.

Schwachstellen, die sowohl Firefox 97, ESR 91.6 sowie Thunderbird 91.6 schlieĂźen:

  • Nicht näher erläuterte Sicherheitsfehler bei der Speicherverwaltung. Die Entwickler schätzen, dass Angreifer dadurch mit etwas Aufwand Schadcode hätten einschleusen und ausfĂĽhren können (CVE-2022-22764, Risiko hoch)
  • Rechtausweitung unter Windows zu SYSTEM durch den Maintenance Service (CVE-2022-22753, hoch)
  • Erweiterungen hätten Berechtigungsbestätigungen während eines Updates umgehen und sich so neue Rechte zuschustern können (CVE-2022-22754, hoch)
  • Bei Nutzung von Drag&Drop bei einem Bild hätte das Objekt auf dem lokalen Desktop oder Ordner am Ende ein ausfĂĽhrbares Skript sein und so nach Anklicken des Nutzers beliebigen Code ausfĂĽhren können (CVE-2022-22756, mittel)
  • Eine Webseite, die iframes in einer Sandbox ohne Option allow-scripts erzeugt, hätte durch Anhängen weiterer Elemente wie einem JavaScript-Event-Handler diesen trotz Sandbox ausfĂĽhren können (CVE-2022-22759, mittel)
  • Webseiten hätten unbefugt an Informationen gelangen können, da Cross-Origin-Antworten zwischen Skript- und Nicht-Skript-Inhalten unterschiedlich waren (CVE-2022-22760, mittel)
  • Die frame-ancestor-Sicherheitsrichtlinie wurde beim Aufruf von Erweiterungs-Webseiten (Seiten mit moz-extension://-Schema) nicht korrekt umgesetzt (CVE-2022-22761, mittel)

SicherheitslĂĽcken, die Firefox 97 abdichtet:

  • Nicht näher erläuterte Fehler bei der Speicherverwaltung, die Angreifer womöglich zum Einschleusen von Schadcode missbrauchen hätten können (CVE-2022-0511, hoch)
  • Ein manipulierter Webserver hätte XSL-Dokumente ausliefern können, das JavaScript auch nach dem SchlieĂźen des Tab weiter ausfĂĽhren könnte (CVE-2022-22755, mittel)
  • Der Remote Agent der Komponente Web Driver hinderte Seiten nicht daran, lokale Verbindungen aufzubauen und so den Browser zu kontrollieren – Web Driver ist standardmäßig jedoch nicht aktiviert (CVE-2022-22757, mittel)
  • "tel:"-Links hätten USSD-Codes (Steuercodes im GSM-Netz) an die Wählkomponente von Firefox fĂĽr Android senden und so je nach Telefonabieter Konfigurationsänderungen fĂĽr Telefonie vornehmen können (CVE-2022-22758, mittel)
  • JavaScript-Dialoge in Firefox fĂĽr Android hätten ĂĽber anderen Domains angezeigt werden können
  • (CVE-2022-22762, niedrig)

Und schlieĂźlich der mit Firefox ESR 91.6 und Thunderbird 91.6 behobene Fehler:

  • Beim Beenden eines sogenannten Worker konnte Skript-Code ausgefĂĽhrt werden, obwohl das zu diesem Zeitpunkt nicht mehr möglich sein sollte (CVE-2022-22763, mittel)

Da die aktualisierten Fassungen Sicherheitslücken schließen, durch die Angreifer arglosen Nutzern Schadcode unterschieben könnten, sollten Anwender und Administratoren diese zügig einrichten. Die Programme sollten sich nach einer gewissen Zeit zwar selbst aktualisieren, aber die Zeitspanne bis dahin könnten Cyberkriminelle gegebenenfalls für Angriffe nutzen.

Nutzer können durch Klick auf das "Hamburger"-Menü, dem Symbol mit den drei horizontalen Strichen oben rechts im Browser, und anschließender Auswahl von "Hilfe" und dann auf "Über Firefox" (respektive "Über Thunderbird") prüfen, ob der Browser oder das Mailprogramm auf dem aktuellen Stand sind. Gegebenenfalls stößt das den Download und die Installation der Aktualisierung an.

Siehe auch:

  • Firefox: Download schnell und sicher von heise.de
  • Thunderbird: Download schnell und sicher von heise.de
Siehe dazu auch

Themenseite zu Firefox auf heise online

(dmk)