Firefox: Notfall-Update schließt kritische Sicherheitslücken
zurück zum Artikel
Die Mozilla-Entwickler haben zwei kritische Sicherheitslücken mit dem Update auf Firefox 124.0.1 und Firefox ESR 115.9.1 geschlossen.
Die Programmierer der Mozilla-Stiftung haben zwei kritische Sicherheitslücken im Webbrowser Firefox und eine in Firefox ESR gestopft. Nutzerinnen und Nutzer dieser Browser sollten die Aktualisierung zügig anwenden.
Das Security-Advisory zu Firefox 124.0.1 [1] listet zwei kritische Sicherheitslücken auf, die die neue Version abdichtet. Angreifer könnten außerhalb der vorgesehenen Speichergrenzen eines Javascript-Objekts lesen oder schreiben. Das soll mit einer Täuschung eines sogenannten "Range-based bounds check elimination"-Mechanismus (CVE-2024-29943, kein CVSS, Risiko laut Mozilla "kritisch") gelungen sein. Grundsätzlich verbirgt sich dahinter eine Prüfung, ob Speichergrenzen eingehalten werden.
Firefox: Zwei kritische Sicherheitslücken
Die zweite kritische Schwachstelle betrifft ebenfalls Javascript. Angreifer konnten einen Event Handler in ein privilegiertes Objekt einschleusen und so beliebigen Javascript-Code im Parent-Prozess mit hohen Rechten ausführen (CVE-2024-29944, kein CVSS, kritisch). Diese Lücke betrifft lediglich die Desktop-Versionen der Webbrowser, aber neben Firefox 124.0 und älteren Fassungen auch Firefox ESR 115.9 und ältere [2]. Zwar beschreiben die Sicherheitsmitteilungen nicht, wie Angriffe konkret aussehen würden, jedoch genügt zum Missbrauchen dieser Schwachstellen in der Regel das Anzeigen von sorgsam präparierten Webseiten.
In den Release-Notes zu Firefox 124.0.1 [3] finden sich ausschließlich die Sicherheitskorrekturen als Änderung. Nutzer der Mozilla-Browser sollten die Aktualisierungen zügig anwenden. Das erledigt am einfachsten der Versionsdialog, der sich durch Klick auf das Symbol mit den drei horizontalen Strichen rechts von der Adressleiste und dem weiteren Weg über "Hilfe" – "Über Firefox" öffnet.
Da Thunderbird bislang keine Aktualisierung erhalten hat, ist die Schwachstelle in der Codebasis von Firefox ESR, auf der Thunderbird fußt, offenbar nicht ausnutzbar – Javascript wird in E-Mails standardmäßig nicht ausgeführt. Erst am Dienstag hatte die Mozilla-Stiftung plangemäß die Aktualisierungen auf Firefox 124.0, Firefox ESR 115.9 und Thunderbird 115.9 [4] veröffentlicht. Auch darin haben die Entwickler mehrere Sicherheitslücken geschlossen, diese erreichten jedoch als maximale Risikoeinstufung "hoch".
URL dieses Artikels:https://www.heise.de/-9664148
Links in diesem Artikel:[1] https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/[2] https://www.mozilla.org/en-US/security/advisories/mfsa2024-16/[3] https://www.mozilla.org/en-US/firefox/124.0.1/releasenotes/[4] https://www.heise.de/news/Sicherheitsupdates-fuer-Firefox-und-Thunderbird-9659433.html[5] mailto:dmk@heise.de
Copyright © 2024 Heise Medien