Mozillas Firefox, Firefox ESR, Thunderbird und der auf Firefox ESR basierende anonymisierende Webbrowser Tor sind verwundbar. Angreifer könnten die Browser abstürzen lassen oder sogar die Sandbox überwinden.

Anzeige

Die neuen Versionen

Der Entwickler hat im Sicherheitsbereich seiner Website Informationen zu den aktuellen Ausgaben und Lücken aufgelistet. Die folgenden Versionen verfügen über die aktuellen Sicherheitsupdates:

Firefox 116

Firefox ESR 102.14

Firefox ESR 115.1

Thunderbird 102.14

Thunderbird 115.1

Tor Browser 12.5.2

Die Lücken

Die Anwendungen sind von identischen Schwachstellen betroffen. In der Summe stuft Mozilla den Bedrohungsgrad als "hoch" ein. Angreifer können etwa in Situationen mit wenig Speicher durch das Parsen von bestimmten HTML-Code für Abstürze sorgen (CVE-2023-4048 "hoch"). Durch einen Bug (CVE-2023-4047 "hoch") und einer daraus resultierenden Verzögerung bei der Anzeige von Pop-up-Benachrichtigungen, können Angreifer Opfer dazu bringen, ihnen höhere Berechtigungen zu verschaffen.

Besonders gefährlich könnte eine Lücke (CVE-2023-4050 "hoch") im StorageManager werden. An dieser Stelle ist es unter bestimmten Voraussetzungen vorstellbar, dass nicht vertrauenswürdige Daten im Speicher landen, was zu einem Absturz führt. Im Zuge dessen können Angreifer aus der Sandbox ausbrechen. Diese Schutzschicht trennt den Browser vom Betriebssystem. Überwinden Angreifer sie, ist in der Regel das gesamte System gefährdet.

Anzeige

Anonym surfen

Der Tor Browser basiert auf Firefox ESR und ist beim Surfen auf die Wahrung der Privatsphäre und Anonymität ausgelegt. Wie aus einem aktuellen Beitrag hervorgeht, haben die Entwickler dem Browser neben der abgesicherten Firefox-ESR-Version noch weitere Updates spendiert. So haben sie etwa die Erweiterung NoScript (11.4.26) und Übersetzungen aktualisiert.

(des)