Alert!

Notfallupdate: Sicherheitslücken in Firefox und Thunderbird werden angegriffen

Die Mozilla-Stiftung hat außer der Reihe Sicherheitsupdates für Firefox, Klar und Thunderbird herausgegeben, die bereits aktiv angegriffene Lücken schließen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 213 Beiträge
Aufmacher Firefox&Thunderbird Notfallupdate

(Bild: Carlo Toffolo/Shutterstock.com)

Von
  • Dirk Knop

Zwei Sicherheitslücken mit der Risikoeinstufung "kritisch" schließt die Mozilla-Foundation außer der Reihe mit aktualisierte Fassungen der Webbrowser Firefox, Klar und des Mailprogramms Thunderbird. Diese werden bereits aktiv von Cyberkriminellen angegriffen und ausgenutzt. Administratoren und Nutzer sollten die Aktualisierungen rasch installieren.

Die Schwachstellen dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (eine Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, im Englischen als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weiterreichende Details zu den Lücken nennt die Mozilla-Stiftung nicht.

Lediglich die CVE-Nummern und eine grobe Beschreibung nennt die Sicherheitsmeldung der Mozilla-Entwickler. Bei beiden Schwachstellen treten die Fehler durch sogenanntes "Use-after-free" auf, also in der Regel einer Nutzung eines Zeigers auf Speicherbereiche, die eigentlich bereits freigegeben wurden. Die Auswirkungen dieses Sicherheitslücken-Typs variieren allgemein von der Möglichkeit, Daten zu manipulieren, über den Absturz der Software bis hin zur Ausführung eingeschleusten Schadcodes.

Bei beiden Lücken kann das Öffnen einer präparierten Webseite ausreichen, um die Sicherheitslücke zu missbrauchen. Die eine Lücke kann unter Umständen auftreten, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu in einer Meldung dazu (CVE-2022-26485, CVSS >=9.0, kritisch). XSLT beschreibt Transformationen von XML-Dokumenten. Die zweite bereits aktiv ausgenutzte Lücke betrifft das WebGPU-IPC-Framework (CVE-2022-26486, CVSS >=9.0, kritisch). WebGPU ist eine Programmierschnittstelle, mit der Webseiten auf die System-GPU – sprich: die Grafikkarte – zugreifen können.

Die aktuelle Firefox-Version findet man via Hamburger-Menü, "Hilfe" und dort "Über Firefox" heraus - hier die fehlerbereinigte Fassung 97.0.2.

(Bild: Screenshot)

Die CVE-Einträge sind noch reserviert und unter Verschluss, sodass der CVSS-Score anhand der Risikoeinschätzung der Mozilla-Foundation derzeit nur grob angegeben werden kann.

Auf Desktop-Geräten und Laptops können Nutzer die aktuell installierte Version überprüfen, indem sie auf das Hamburger-Menü (das Symbol mit den drei horizontalen Strichen oben rechts neben der Adressleiste) klicken, dort auf "Hilfe" gehen und schließlich "Über Firefox" auswählen.

Das zeigt entweder die aktuelle Versionsnummer oder stößt den Download und die Installation davon an. Nach einem Browser- oder Mailprogramm-Neustart ist dann die fehlerbereinigte Version aktiv. Da bereits Angriffe auf die Schwachstellen in der freien Wildbahn laufen, sollten Firefox- und Thunderbird-Nutzer und -Administratoren die Aktualisierungen umgehend installieren.

  • Firefox: Download schnell und sicher von heise.de
  • Thunderbird: Download schnell und sicher von heise.de
Lesen Sie auch:

Themenseite zu Firefox auf heise online

(dmk)