Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Firefox, Thunderbird und Tor Browser bekommen Sicherheitsupdates

Angreifer könnten aus der Firefox-Sandbox ausbrechen. Die Entwickler haben noch weitere Lücken geschlossen.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen

(Bild: heise online)

Lesezeit: 2 Min.
Security
Von
Inhaltsverzeichnis

Mozillas Firefox, Firefox ESR, Thunderbird und der auf Firefox ESR basierende anonymisierende Webbrowser Tor sind verwundbar. Angreifer könnten die Browser abstürzen lassen oder sogar die Sandbox überwinden.

Die neuen Versionen

Der Entwickler hat im Sicherheitsbereich seiner Website Informationen zu den aktuellen Ausgaben und Lücken aufgelistet. Die folgenden Versionen verfügen über die aktuellen Sicherheitsupdates:

  • Firefox 116
  • Firefox ESR 102.14
  • Firefox ESR 115.1
  • Thunderbird 102.14
  • Thunderbird 115.1
  • Tor Browser 12.5.2

Die Anwendungen sind von identischen Schwachstellen betroffen. In der Summe stuft Mozilla den Bedrohungsgrad als "hoch" ein. Angreifer können etwa in Situationen mit wenig Speicher durch das Parsen von bestimmten HTML-Code für Abstürze sorgen (CVE-2023-4048 "hoch"). Durch einen Bug (CVE-2023-4047 "hoch") und einer daraus resultierenden Verzögerung bei der Anzeige von Pop-up-Benachrichtigungen, können Angreifer Opfer dazu bringen, ihnen höhere Berechtigungen zu verschaffen.

Besonders gefährlich könnte eine Lücke (CVE-2023-4050 "hoch") im StorageManager werden. An dieser Stelle ist es unter bestimmten Voraussetzungen vorstellbar, dass nicht vertrauenswürdige Daten im Speicher landen, was zu einem Absturz führt. Im Zuge dessen können Angreifer aus der Sandbox ausbrechen. Diese Schutzschicht trennt den Browser vom Betriebssystem. Überwinden Angreifer sie, ist in der Regel das gesamte System gefährdet.

Der Tor Browser basiert auf Firefox ESR und ist beim Surfen auf die Wahrung der Privatsphäre und Anonymität ausgelegt. Wie aus einem aktuellen Beitrag hervorgeht, haben die Entwickler dem Browser neben der abgesicherten Firefox-ESR-Version noch weitere Updates spendiert. So haben sie etwa die Erweiterung NoScript (11.4.26) und Übersetzungen aktualisiert.

Siehe auch:

(des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten