Die Entwickler der Mozilla Foundation haben Sicherheits-Updates ihres Webbrowsers veröffentlicht. In Firefox 94 schließen sie damit 13 Sicherheitslücken, in der ESR-Version 91.3 derer zehn. Sieben der Lücken stellen laut Einschätzung der Programmierer ein hohes Sicherheitsrisiko dar, vier ein moderates und zwei ein niedriges.
Ein weiterer Fehler wurde durch neue Betriebssystem-Features eingeschleppt: Das Cloud-Clipboard von Windows 10 kopiert erst mal alles in der Zwischenablage zum Synchronisieren mit anderen Geräten auf Microsofts Cloud-Server. Software kann durch Markierungen an solchen kopierten Inhalten sensible Daten vor dieser Weiterverbreitung schützen. Dies haben die Firefox-Entwickler nun nachgelegt (CVE-2021-38505). Weiterhin konnte der Dateiauswahldialog zu einem Programmabsturz führen (CVE-2021-38504). Die weiteren geschlossenen Sicherheitslücken konnten beispielsweise für Phishing-Angriffe oder Cross-Site-Scripting missbraucht werden.
Die alte ESR-Variante 78 wird laut Release-Kalender des Herstellers nicht mehr aktualisiert. Ein Umstieg auf die neueren Versionen ist daher dringend anzuraten.
Detailliertere Informationen liefern die Advisories der Mozilla Foundation:
Quelle: heise
Einzelne Lücken unter der Lupe
Das schwerwiegendste Problem betrifft beide Vorgängerversionen gleichermaßen und lag in der Speicherverwaltung vergraben (interne Bezeichnung MOZ-2021-0007). Fehler darin könnten mit genügend Aufwand höchstwahrscheinlich zum Ausführen von eingeschleustem Code ausgenutzt werden. Unter den abgedichteten Sicherheitslecks findet sich weiterhin eine Schwachstelle im Regelwerk der iframe-Sandbox (CVE-2021-38503). Angreifer konnten es mit manipulierten XSLT-Stylesheets umgehen und so Skripte ausführen oder auf den Haupt-Frame ausbrechen.Ein weiterer Fehler wurde durch neue Betriebssystem-Features eingeschleppt: Das Cloud-Clipboard von Windows 10 kopiert erst mal alles in der Zwischenablage zum Synchronisieren mit anderen Geräten auf Microsofts Cloud-Server. Software kann durch Markierungen an solchen kopierten Inhalten sensible Daten vor dieser Weiterverbreitung schützen. Dies haben die Firefox-Entwickler nun nachgelegt (CVE-2021-38505). Weiterhin konnte der Dateiauswahldialog zu einem Programmabsturz führen (CVE-2021-38504). Die weiteren geschlossenen Sicherheitslücken konnten beispielsweise für Phishing-Angriffe oder Cross-Site-Scripting missbraucht werden.
Handlungsempfehlung und weitere Informationen
Firefox-Anwender sollten gegebenenfalls überprüfen, ob sie bereits die aktuelle Version einsetzen. Am einfachsten gelingt dies durch Klicken auf das "Hamburger-Menü" oben rechts und der Auswahl von "Hilfe"-"Über Firefox". Bei nicht aktueller Version stößt dies das Herunterladen der aktualisierten Fassung an.Die alte ESR-Variante 78 wird laut Release-Kalender des Herstellers nicht mehr aktualisiert. Ein Umstieg auf die neueren Versionen ist daher dringend anzuraten.
Detailliertere Informationen liefern die Advisories der Mozilla Foundation:
Quelle: heise