Die Entwickler der Mozilla Foundation haben Sicherheits-Updates ihres Webbrowsers veröffentlicht. In Firefox 94 schließen sie damit 13 Sicherheitslücken, in der ESR-Version 91.3 derer zehn. Sieben der Lücken stellen laut Einschätzung der Programmierer ein hohes Sicherheitsrisiko dar, vier ein moderates und zwei ein niedriges.

Einzelne Lücken unter der Lupe

Das schwerwiegendste Problem betrifft beide Vorgängerversionen gleichermaßen und lag in der Speicherverwaltung vergraben (interne Bezeichnung MOZ-2021-0007). Fehler darin könnten mit genügend Aufwand höchstwahrscheinlich zum Ausführen von eingeschleustem Code ausgenutzt werden. Unter den abgedichteten Sicherheitslecks findet sich weiterhin eine Schwachstelle im Regelwerk der iframe-Sandbox (CVE-2021-38503). Angreifer konnten es mit manipulierten XSLT-Stylesheets umgehen und so Skripte ausführen oder auf den Haupt-Frame ausbrechen.

Ein weiterer Fehler wurde durch neue Betriebssystem-Features eingeschleppt: Das Cloud-Clipboard von Windows 10 kopiert erst mal alles in der Zwischenablage zum Synchronisieren mit anderen Geräten auf Microsofts Cloud-Server. Software kann durch Markierungen an solchen kopierten Inhalten sensible Daten vor dieser Weiterverbreitung schützen. Dies haben die Firefox-Entwickler nun nachgelegt (CVE-2021-38505). Weiterhin konnte der Dateiauswahldialog zu einem Programmabsturz führen (CVE-2021-38504). Die weiteren geschlossenen Sicherheitslücken konnten beispielsweise für Phishing-Angriffe oder Cross-Site-Scripting missbraucht werden.

Handlungsempfehlung und weitere Informationen

Firefox-Anwender sollten gegebenenfalls überprüfen, ob sie bereits die aktuelle Version einsetzen. Am einfachsten gelingt dies durch Klicken auf das "Hamburger-Menü" oben rechts und der Auswahl von "Hilfe"-"Über Firefox". Bei nicht aktueller Version stößt dies das Herunterladen der aktualisierten Fassung an.

Die alte ESR-Variante 78 wird laut Release-Kalender des Herstellers nicht mehr aktualisiert. Ein Umstieg auf die neueren Versionen ist daher dringend anzuraten.

Detailliertere Informationen liefern die Advisories der Mozilla Foundation:

Siehe auch:

