Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Firefox- und Thunderbird-Notfall-Update stopft angegriffenes Sicherheitsleck

Neue Versionen von Firefox und Thunderbird schlieĂźen SicherheitslĂĽcken, die bereits in freier Wildbahn angegriffen werden.

In Pocket speichern vorlesen Druckansicht 58 Kommentare lesen
Stilisierte Grafik: Brennendes Firefox-Logo auf einem Laptop

Sicherheitslücken in Firefox gefährden Nutzerinnen und Nutzer.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Update
Stand:
Lesezeit: 2 Min.
Security
Von

Im Webbrowser Firefox sowie im Mailprogramm Thunderbird klafft eine SicherheitslĂĽcke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Software-Versionen stopfen das Sicherheitsleck.

Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.

Firefox: Aktualisierte Fassungen

Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Im Laufe des Donnerstags dieser Woche hat die Mozilla-Stiftung zudem Thunderbird 128.3.1esr nachgelegt. Die Version soll ebenfalls eine Sicherheitslücke abdichten, das zugehörige Security-Advisory fehlt am Freitagmorgen jedoch immer noch – es ist jedoch naheliegend, dass es sich um dieselbe Schwachstelle handelt.

Der Versionsdialog von Firefox und auch der von Thunderbird findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das EinstellungsmenĂĽ, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg ĂĽber "Hilfe" unter "Ăśber Firefox" respektive "Ăśber Thunderbird". Linux-Nutzerinnen und -Nutzer mĂĽssen dafĂĽr in der Regel die Softwareverwaltung des Systems nach Updates suchen lassen.

Der Versionsdialog von Firefox sucht und installiert die Aktualisierung und bietet dann an, den Browser neu zu starten, damit die Korrekturen auch aktiv werden.

(Bild: Screenshot / dmk)

Da die Schwachstelle bereits angegriffen wird und als kritisch gilt, sollten Firefox- und Thunderbird-Nutzerinnen und Nutzer sowie Admins zĂĽgig ĂĽberprĂĽfen, ob die neue Softwareversion bereits installiert ist.

Lesen Sie auch

Die angeblich datenschutzfreundliche Werbungsausspielung mittels "Privacy-Preserving Attribution" (PPA) habe Mozilla mit dem Update auf Firefox 128 automatisch aktiviert, ohne Rückfragen. Noyb hat dagegen Beschwerde bei der österreichischen Datenschutzbehörde eingelegt.

Update

Mozilla hat auch ein Update für Thunderbird nachgeschoben im Laufe des Donnerstag. Wir haben die Meldung entsprechend ergänzt.

(dmk)

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten