Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Angreifer könnten eigenen Code im Kontext von Thunderbird und Firefox ausführen

Angreifer könnten Firefox, Firefox ESR und Thunderbird in bestimmten Situationen attackieren und im schlimmsten Fall Schadcode ausführen. Klappt das, könnten sie Systeme mit hoher Wahrscheinlichkeit vollständig kompromittieren.

Bei den beiden Webbrowser kann es etwa zu Problemen beim Parsen (CVE-2022-40960 „hoch“) von nicht-UTF8-URLs kommen. In einem nicht näher beschriebenen Angriffsszenario könnte Schadcode auf Systeme gelangen (CVE-2022-40962 „hoch“).
Antworten Opfer auf eine präparierte HTML-Mail mit einem meta Tag, könnten Angreifer darüber Informationen ausschleusen. Aufgrund des Fehler (CVE-2022-3033 „hoch“) könnten sie JavaScript ausführen und darüber Nachrichten lesen oder sogar manipulieren. Nutzer, die die Anzeige des Nachrichtentextes auf simple html oder plain text eingestellt haben, sind von der Lücke nicht betroffen.

In den Versionen Firefox 105, Firefox ESR 102.3 und Thunderbird 91.13.1 und ab Thunderbird 102.2.1 haben die Entwickler die Schwachstellen geschlossen.

Mehr Informationen zu den Sicherheitslücken:

UPDATE21.09.2022 10:59 Uhr
Weitere Informationen zu den Lücken eingebaut.
Quelle: heise
 
Oben