Mozilla hat außer der Reihe Sicherheitsupdates für die Programme Firefox, Klar und Thunderbird herausgegeben, die schon aktiv angegriffene Lücken darin schließen.
Zwei dieser Sicherheitslücken mit der Risikoeinstufung „kritisch“ schließt die Mozilla-Foundation außer der Reihe mit Updates der Webbrowser Firefox und Klar sowie des Mailers Thunderbird. Diese Anwendungen werden schon aktiv von Cyberkriminellen angegriffen. Administratoren und Benutzer sollten die Updates jetzt rasch installieren.
Die Sicherheitslücken dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (Privater Browser – die Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, in Englisch als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weiterreichende Details zu den Lücken nennt die Mozilla-Stiftung nicht.
Es gibt noch keine Details
Die Sicherheitsmeldung der Mozilla-Entwickler gibt nur die CVE-Nummern und eine grobe Beschreibung der Schwachstellen an. Bei beiden Lücken treten die Fehler durch das sogenannte „Use-after-free“ auf, also der Nutzung eines Zeigers auf Speicherbereiche, die eigentlich schon wieder freigegeben wurden.
Die Auswirkungen dieser Art Sicherheitslücken variieren generell von der Möglichkeit, Daten zu manipulieren über den Absturz der Programme bis hin zur Ausführung eingeschleustem Schadcode auf dem Rechner.
Der Besuch einer „bösen“ Internetseite reicht aus
Bei beiden Lücken kann das Öffnen einer entsprechend präparierten Webseite ausreichen, um die Lücke zu missbrauchen. Die eine Lücke kann unter Umständen aufgehen, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu in einer Meldung dazu (CVE-2022-26485, CVSS >=9.0, kritisch).
XSLT beschreibt die Transformationen von XML-Dokumenten in Internetseiten. Die zweite schon aktiv ausgenutzte Lücke betrifft das WebGPU-IPC-Framework (CVE-2022-26486, CVSS >=9.0, kritisch). WebGPU ist eine Programmierschnittstelle, mit der Webseiten auf die Grafikkarte des Systems zugreifen können.
Updates überprüfen
Auf Desktop-Geräten und Laptops können die Benutzer die aktuell installierte Version überprüfen, indem sie auf das Symbol mit den drei horizontalen Strichen oben rechts neben der Adressleiste klicken, dort „Hilfe“ anklicken und dann „Über Firefox“ auswählen.
