[Avantasia]

Zitat:

Die Mozilla-Stiftung hat außer der Reihe Sicherheitsupdates für Firefox, Klar und Thunderbird herausgegeben, die bereits aktiv angegriffene Lücken schließen.

Zwei Sicherheitslücken mit der Risikoeinstufung "kritisch" schließt die Mozilla-Foundation außer der Reihe mit aktualisierte Fassungen der Webbrowser Firefox, Klar und des Mailprogramms Thunderbird. Diese werden bereits aktiv von Cyberkriminellen angegriffen und ausgenutzt. Administratoren und Nutzer sollten die Aktualisierungen rasch installieren.

Die Schwachstellen dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (eine Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, im Englischen als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weiterreichende Details zu den Lücken nennt die Mozilla-Stiftung nicht.

Details fehlen

Lediglich die CVE-Nummern und eine grobe Beschreibung nennt die Sicherheitsmeldung der Mozilla-Entwickler. Bei beiden Schwachstellen treten die Fehler durch sogenanntes "Use-after-free" auf, also in der Regel einer Nutzung eines Zeigers auf Speicherbereiche, die eigentlich bereits freigegeben wurden. Die Auswirkungen dieses Sicherheitslücken-Typs variieren allgemein von der Möglichkeit, Daten zu manipulieren, über den Absturz der Software bis hin zur Ausführung eingeschleusten Schadcodes.

Bei beiden Lücken kann das Öffnen einer präparierten Webseite ausreichen, um die Sicherheitslücke zu missbrauchen. Die eine Lücke kann unter Umständen auftreten, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu in einer Meldung dazu (CVE-2022-26485, CVSS >=9.0, kritisch). XSLT beschreibt Transformationen von XML-Dokumenten. Die zweite bereits aktiv ausgenutzte Lücke betrifft das WebGPU-IPC-Framework (CVE-2022-26486, CVSS >=9.0, kritisch). WebGPU ist eine Programmierschnittstelle, mit der Webseiten auf die System-GPU – sprich: die Grafikkarte – zugreifen können.

Die CVE-Einträge sind noch reserviert und unter Verschluss, sodass der CVSS-Score anhand der Risikoeinschätzung der Mozilla-Foundation derzeit nur grob angegeben werden kann.

Update-Prüfung

Auf Desktop-Geräten und Laptops können Nutzer die aktuell installierte Version überprüfen, indem sie auf das Hamburger-Menü (das Symbol mit den drei horizontalen Strichen oben rechts neben der Adressleiste) klicken, dort auf "Hilfe" gehen und schließlich "Über Firefox" auswählen.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Uwe Farz]

Falls es jemand nicht mitgekriegt hat - inzwischen gibt es Firefox 98.0.