Firefox- und Thunderbird-Notfall-Update stopft angegriffenes Sicherheitsleck
Neue Versionen von Firefox und Thunderbird schließen Sicherheitslücken, die bereits in freier Wildbahn angegriffen werden.
Im Webbrowser Firefox sowie im Mailprogramm Thunderbird klafft eine Sicherheitslücke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Software-Versionen stopfen das Sicherheitsleck.
Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.
Firefox: Aktualisierte Fassungen
Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Im Laufe des Donnerstags dieser Woche hat die Mozilla-Stiftung zudem Thunderbird 128.3.1esr nachgelegt. Die Version soll ebenfalls eine Sicherheitslücke abdichten, das zugehörige Security-Advisory fehlt am Freitagmorgen jedoch immer noch – es ist jedoch naheliegend, dass es sich um dieselbe Schwachstelle handelt.
Der Versionsdialog von Firefox und auch der von Thunderbird findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg über "Hilfe" unter "Über Firefox" respektive "Über Thunderbird". Linux-Nutzerinnen und -Nutzer müssen dafür in der Regel die Softwareverwaltung des Systems nach Updates suchen lassen.
Da die Schwachstelle bereits angegriffen wird und als kritisch gilt, sollten Firefox- und Thunderbird-Nutzerinnen und Nutzer sowie Admins zügig überprüfen, ob die neue Softwareversion bereits installiert ist.
Die angeblich datenschutzfreundliche Werbungsausspielung mittels "Privacy-Preserving Attribution" (PPA) habe Mozilla mit dem Update auf Firefox 128 automatisch aktiviert, ohne Rückfragen. Noyb hat dagegen Beschwerde bei der österreichischen Datenschutzbehörde eingelegt.
Mozilla hat auch ein Update für Thunderbird nachgeschoben im Laufe des Donnerstag. Wir haben die Meldung entsprechend ergänzt.
(dmk)