Alert!

Firefox- und Thunderbird-Notfall-Update stopft angegriffenes Sicherheitsleck

Neue Versionen von Firefox und Thunderbird schließen Sicherheitslücken, die bereits in freier Wildbahn angegriffen werden.

In Pocket speichern vorlesen Druckansicht 57 Kommentare lesen
Stilisierte Grafik: Brennendes Firefox-Logo auf einem Laptop

Sicherheitslücken in Firefox gefährden Nutzerinnen und Nutzer.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Update
Stand:
Lesezeit: 2 Min.
Von

Im Webbrowser Firefox sowie im Mailprogramm Thunderbird klafft eine Sicherheitslücke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Software-Versionen stopfen das Sicherheitsleck.

Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.

Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Im Laufe des Donnerstags dieser Woche hat die Mozilla-Stiftung zudem Thunderbird 128.3.1esr nachgelegt. Die Version soll ebenfalls eine Sicherheitslücke abdichten, das zugehörige Security-Advisory fehlt am Freitagmorgen jedoch immer noch – es ist jedoch naheliegend, dass es sich um dieselbe Schwachstelle handelt.

Der Versionsdialog von Firefox und auch der von Thunderbird findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg über "Hilfe" unter "Über Firefox" respektive "Über Thunderbird". Linux-Nutzerinnen und -Nutzer müssen dafür in der Regel die Softwareverwaltung des Systems nach Updates suchen lassen.

Der Versionsdialog von Firefox sucht und installiert die Aktualisierung und bietet dann an, den Browser neu zu starten, damit die Korrekturen auch aktiv werden.

(Bild: Screenshot / dmk)

Da die Schwachstelle bereits angegriffen wird und als kritisch gilt, sollten Firefox- und Thunderbird-Nutzerinnen und Nutzer sowie Admins zügig überprüfen, ob die neue Softwareversion bereits installiert ist.

Die angeblich datenschutzfreundliche Werbungsausspielung mittels "Privacy-Preserving Attribution" (PPA) habe Mozilla mit dem Update auf Firefox 128 automatisch aktiviert, ohne Rückfragen. Noyb hat dagegen Beschwerde bei der österreichischen Datenschutzbehörde eingelegt.

Update

Mozilla hat auch ein Update für Thunderbird nachgeschoben im Laufe des Donnerstag. Wir haben die Meldung entsprechend ergänzt.

(dmk)