Hardware & Software Alert! Angreifer könnten eigenen Code im Kontext von Thunderbird und Firefox ausführen

Angreifer könnten Firefox, Firefox ESR und Thunderbird in bestimmten Situationen attackieren und im schlimmsten Fall Schadcode ausführen. Klappt das, könnten sie Systeme mit hoher Wahrscheinlichkeit vollständig kompromittieren.

Bei den beiden Webbrowser kann es etwa zu Problemen beim Parsen (CVE-2022-40960 „hoch“) von nicht-UTF8-URLs kommen. In einem nicht näher beschriebenen Angriffsszenario könnte Schadcode auf Systeme gelangen (CVE-2022-40962 „hoch“).
Antworten Opfer auf eine präparierte HTML-Mail mit einem meta Tag, könnten Angreifer darüber Informationen ausschleusen. Aufgrund des Fehler (CVE-2022-3033 „hoch“) könnten sie JavaScript ausführen und darüber Nachrichten lesen oder sogar manipulieren. Nutzer, die die Anzeige des Nachrichtentextes auf simple html oder plain text eingestellt haben, sind von der Lücke nicht betroffen.

In den Versionen Firefox 105, Firefox ESR 102.3 und Thunderbird 91.13.1 und ab Thunderbird 102.2.1 haben die Entwickler die Schwachstellen geschlossen.

Mehr Informationen zu den Sicherheitslücken:

• Du musst dich Anmelden oder Registrieren um diesen link zusehen!
• Du musst dich Anmelden oder Registrieren um diesen link zusehen!
• Du musst dich Anmelden oder Registrieren um diesen link zusehen!
• Du musst dich Anmelden oder Registrieren um diesen link zusehen!

UPDATE21.09.2022 10:59 Uhr
Weitere Informationen zu den Lücken eingebaut.
Quelle: heise