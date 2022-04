Angreifer könnten Systeme mit Firefox ESR, Thunderbird oder Tor Browser attackieren und im schlimmsten Fall Schadcode ausführen. Dagegen abgesicherte Versionen stehen zum Download bereit.

Aus Warnmeldungen zu Firefox ESR 91.8 und Thunderbird 91.8 geht hervor, dass die Entwickler mehrere Sicherheitslücken (CVE-2022-28289, CVE-2022-28281, CVE-2022-1097) geschlossen haben, die mit dem Bedrohungsgrad "hoch" eingestuft sind.

DoS- und Schadcode-Attacken

Hier könnten Angreifer an verschiedenen Stellen ansetzen, um Speicherfehler zu provozieren. Klappt das, stürzt Software in der Regel ab (Denial of Service DoS). Oft können Angreifer über so eine Attacke aber auch Schadcode auf Systeme schieben und ausführen. In einem Fall soll das durch eine unerwartete Anzahl von WebAuthN-Erweiterungen in einem Register-Befehl der Fall sein. Wie eine Attacke im Kontext des Authentifizierungsstandards im Detail aussehen könnte, ist derzeit nicht bekannt.

Thunderbird ist über die gleichen Lücken attackierbar und bringt zusätzlich noch eine OpenPGP-Schwachstelle (CVE-2022-1197 "moderat") mit. An dieser Stelle könnte der Mailclient einen eigentlich widerrufenen Schlüssel behalten.

Anonym surfen

Das anonymisierende Tor Browser basiert auf Firefox ESR und bekommt die Sicherheitsupdates ebenfalls serviert. Überdies haben die Entwickler einem Blog-Beitrag zufolge NoScript 11.4.3 implementiert und einige Bugs aus der Welt geschafft. Die Tor-Browser-Ausgabe 11.0.10 ist aktuell.

(des)