Mozilla hat am Wochenende außer der Reihe Sicherheitsupdates für die Programme Firefox, Klar und Thunderbird herausgegeben, die schon aktiv angegriffene Lücken in den beiden Browsern und dem Mailer schließen.
Zwei der Sicherheitslücken mit der Risikoeinstufung „kritisch“ schließt die Mozilla-Foundation außer der Reihe mit Updates der Webbrowser Firefox und Klar sowie des Mailers Thunderbird. Diese Programme werden jetzt schon aktiv von Cyberkriminellen angegriffen, und Administratoren bzw. Benutzer sollten die Updates jetzt zügig installieren.
Die Sicherheitslücken dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (Privater Browser – die Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, in Englisch als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weitergehende Details zu den Lücken nennt die Mozilla-Stiftung noch nicht.
Noch keine Details bekannt
Die Sicherheitsmeldung der Mozilla-Entwickler nennt nur die CVE-Nummern und gibt eine grobe Beschreibung der Schwachstellen. Bei beiden Lücken treten die Fehler durch „Use-after-free“ auf, also durch die Nutzung eines Zeigers auf Speicherbereiche, die eigentlich schon wieder freigegeben wurden.
Die Auswirkungen dieser Art Sicherheitslücken machen vieles möglich, z.B. Daten über den Absturz der Programme zu manipulieren bis hin zur Ausführung eingeschleusten Schadcodes auf dem PC.
Der Besuch einer „bösen“ Internetseite reicht für einen Angriff
Bei den zwei Lücken kann das Öffnen einer entsprechend präparierten Webseite ausreichen, um die Lücke zu missbrauchen. Eine der Lücken kann unter Umständen aufgehen, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu in einer Meldung dazu (CVE-2022-26485, CVSS >=9.0, kritisch).
XSLT beschreibt die Transformationen von XML-Dokumenten in Internetseiten. Die zweite schon aktiv ausgenutzte Lücke betrifft das WebGPU-IPC-Framework (CVE-2022-26486, CVSS >=9.0, kritisch). WebGPU ist eine Programmierschnittstelle, mit der Internetseiten auf die Grafikkarte des Systems zugreifen können.
Update-Status überprüfen
Auf ihren Desktop-Geräten und Laptops können die Benutzer die aktuell installierte Version überprüfen, indem sie auf das Symbol mit den drei horizontalen Strichen oben rechts neben der Adressleiste klicken, dort „Hilfe“ danach anklicken und dann „Über Firefox“ auswählen.