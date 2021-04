Seit dem gestrigen Montag sind neue Versionen des beliebten Web-Browsers Firefox verfügbar. Neben funktionalen Updates hat Mozilla dem frisch erschienenen Firefox 88 und dem Extended Support Release (ESR) 78.10 auch sicherheitsrelevante Fixes spendiert. Gleiches gilt für den ebenfalls seit gestern verfügbaren Thunderbird 78.10. Geschlossen wurden mehrere Sicherheitslücken, von denen teilweise ein hohes Risiko ausgeht.

Potenzial für unbefugte Codeausführung und Abstürze

Aus allen drei neuen Versionen übereinstimmend getilgt wurden zwei "High"-Lücken mit den CVE-IDs CVE-2021-23994 und CVE-2021-23995. CVE-2021-23994 fußt auf einer verspäteten Initialisierung des WebGL-Framebuffers, die schreibende Zugriffsmöglichkeiten auf Speicherbereiche außerhalb des vorgesehenen Bereiches ("Out-of-bounds Write") gewähren könnte. Mögliche Konsequenzen nennt Mozilla nicht; denkbar wären aber etwa Browser-Abstürze oder eine unbefugte Codeausführung. CVE-2021-23995 (Use-after-free) könnte Angreifern bei aktiviertem Responsive Design Mode Möglichkeiten zur beliebigen Codeausführung verschaffen.

Aus Firefox 88 wurden zusätzlich zwei weitere Highlücken beseitigt: CVE-2021-23996 hätte zur Darstellung von Inhalten außerhalb des Viewports, also des normalen Anzeigebereichs des Browsers, und damit etwa für Phishing missbraucht werden können. CVE-2021-23997 ("Use-after-free when freeing fonts from cache") schließlich bot eine weitere Ansatzmöglichkeit zur Ausführung schädlichen Codes – "with enough effort", wie Mozilla im Advisory einschränkend hinzufügt.

Advisories im Überblick

Kurzbeschreibungen aller Sicherheitslücken, einschließlich jener mit "Low"- und "Moderate"-Einstufung, finden Interessierte wie immer in den aktuellen Security Advisories:

Der neuen Firefox-Version haben wir zusätzlich noch eine separate Meldung gewidmet, die sich mit den funktionalen Neuerungen befasst:

(ovw)