Patchday: Weitere Sicherheitsupdates fĂĽr Firefox
Nachdem die Mozilla-Stiftung kürzlich Notfallupdates veröffentlichte, folgt heute der reguläre Patchday. Updates schließen Lücken mit hohem Risiko in Firefox.
Nach den kürzlich erschienenen Notfallupdates, die aktiv angegriffene Schwachstellen in Firefox und Thunderbird schlossen, folgen heute Sicherheitsupdates im regulären Turnus. Die Mozilla-Stiftung stellt die fehlerbereinigten Versionen Firefox 98 sowie Firefox ESR 91.7 bereit, die Sicherheitslücken mit teils hohem Risiko schließen.
Eine Hand voll Schwachstellen
Beide Browserversionen schließen vier Sicherheitslücken, deren Risiko die Mozilla-Entwickler als hoch einstufen. Durch Größenänderung eines Popup-Fensters nach einer Vollbildmodus-Anforderung zeigt das Popup die Vollbild-Benachrichtigung nicht an, was Browser-Fenster-Spoofing ermöglicht (CVE-2022-26383). Wenn ein Angreifer die Inhalte eines iframe kontrollieren kann, das mit den Optionen "Allow-Popups" und "Not Allow-Scripts" in einer Sandbox steckt, könnte dieser einen Link erstellen, der entgegen der Sandbox-Regel zur Ausführung von JavaScript führt (CVE-2022-26384).
Beim Installieren eines Add-ons verifiziert Firefox dessen Signatur, bevor ein Benutzerdialog dazu gezeigt wird. Während ein Nutzer diesen Dialog bestätigt, hätte das darunterliegende Add-on jedoch verändert werden können, ohne dass Firefox dies bemerkt hätte (CVE-2022-26387). Weiterhin hätte ein Angreifer einen Use-after-free-Fehler provozieren können, indem er einen Textumfluss in einem SVG-Objekt erzwingt. Dies hätte in einen möglicherweise zu Schlimmerem ausnutzbaren Absturz münden können – sprich Ausführung von eingeschmuggelten Schadcode (CVE-2022-26381).
Hier enden die beiden Browsern gemeinsam betreffenden Schwachstellen.
Die Vorgängerversion von Firefox ESR 91.7 hat genau eine Hand voll Lücken vorzuweisen: Die fünfte Sicherheitslücke betraf nur die ESR-Fassung und bestand darin, dass Firefox unter Linux und macOS nicht in benutzerspezifische Temp-Verzeichnisse heruntergeladen hat, sondern in das systemweite /tmp. Dadurch hätten andere Nutzer darauf zugreifen können. Die Entwickler haben das ursprüngliche Verhalten wiederhergestellt, das in Benutzer-eigene Temp-Verzeichnisse speichert (CVE-2022-26386, Risiko niedrig).
Weitere Schwachstellen
Lediglich in der Vorversion zu Firefox 98 waren drei weitere Sicherheitslücken mit mittlerem Risiko zu finden. Texte aus der Autofill-Funktion konnten durch speziell präparierte Zeichensätze bei einem Seitenkanal-Angriff ungewollt preisgegeben werden (CVE-2022-26382). Unter nicht näher erläuterten, ungewöhnlichen Umständen konnte ein Thread seinen Verwaltungsthread beim Herunterfahren überleben. Dies könnte zu einem Use-after-free-Fehler führen, der möglicherweise zum Ausführen von eingeschleusten Code führt (CVE-2022-26385). Die letzte Sicherheitslücke, die Firefox 98 laut Mozilla-Sicherheitsmeldung schließt, sind Speichersicherheitsfehler, die Angreifer möglicherweise ebenfalls zum Ausführen von eigenem Programmcode ausnutzen hätten können (CVE-2022-0843).
Firefox-Nutzer und -Administratoren sollten nochmals ĂĽberprĂĽfen, ob sie bereits die aktuelle Version einsetzen. Dies gelingt in Windows und macOS durch Anklicken des Hamburger-MenĂĽs (das Symbol mit den drei horizontalen Streifen rechts neben der Adresszeile), dort dann ĂĽber "Hilfe" auf "Ăśber Firefox" gehen. Entweder zeigt dies die aktuelle Version an oder startet das Herunterladen und die Installation davon. Linux-Nutzer erhalten ĂĽblicherweise mit den Distributions-eigenen Update-Werkzeugen die aktualisierte Version.
- Firefox: Download schnell und sicher von heise.de
- Firefox ESR: Download schnell und sicher von heise.de
(dmk)