Die Entwickler der Mozilla Foundation haben Sicherheits-Updates ihres Webbrowsers veröffentlicht. In Firefox 94 schließen sie damit 13 Sicherheitslücken, in der ESR-Version 91.3 derer zehn. Sieben der Lücken stellen laut Einschätzung der Programmierer ein hohes Sicherheitsrisiko dar, vier ein moderates und zwei ein niedriges.
Ein weiterer Fehler wurde durch neue Betriebssystem-Features eingeschleppt: Das Cloud-Clipboard von Windows 10 kopiert erst mal alles in der Zwischenablage zum Synchronisieren mit anderen Geräten auf Microsofts Cloud-Server. Software kann durch Markierungen an solchen kopierten Inhalten sensible Daten vor dieser Weiterverbreitung schützen. Dies haben die Firefox-Entwickler nun nachgelegt (CVE-2021-38505). Weiterhin konnte der Dateiauswahldialog zu einem Programmabsturz führen (CVE-2021-38504). Die weiteren geschlossenen Sicherheitslücken konnten beispielsweise für Phishing-Angriffe oder Cross-Site-Scripting missbraucht werden.
Die alte ESR-Variante 78 wird laut
Detailliertere Informationen liefern die Advisories der Mozilla Foundation:
Einzelne Lücken unter der Lupe
Das schwerwiegendste Problem betrifft beide Vorgängerversionen gleichermaßen und lag in der Speicherverwaltung vergraben (interne Bezeichnung MOZ-2021-0007). Fehler darin könnten mit genügend Aufwand höchstwahrscheinlich zum Ausführen von eingeschleustem Code ausgenutzt werden. Unter den abgedichteten Sicherheitslecks findet sich weiterhin eine Schwachstelle im Regelwerk der iframe-Sandbox (CVE-2021-38503). Angreifer konnten es mit manipulierten XSLT-Stylesheets umgehen und so Skripte ausführen oder auf den Haupt-Frame ausbrechen.Ein weiterer Fehler wurde durch neue Betriebssystem-Features eingeschleppt: Das Cloud-Clipboard von Windows 10 kopiert erst mal alles in der Zwischenablage zum Synchronisieren mit anderen Geräten auf Microsofts Cloud-Server. Software kann durch Markierungen an solchen kopierten Inhalten sensible Daten vor dieser Weiterverbreitung schützen. Dies haben die Firefox-Entwickler nun nachgelegt (CVE-2021-38505). Weiterhin konnte der Dateiauswahldialog zu einem Programmabsturz führen (CVE-2021-38504). Die weiteren geschlossenen Sicherheitslücken konnten beispielsweise für Phishing-Angriffe oder Cross-Site-Scripting missbraucht werden.
Handlungsempfehlung und weitere Informationen
Firefox-Anwender sollten gegebenenfalls überprüfen, ob sie bereits die aktuelle Version einsetzen. Am einfachsten gelingt dies durch Klicken auf das "Hamburger-Menü" oben rechts und der Auswahl von "Hilfe"-"Über Firefox". Bei nicht aktueller Version stößt dies das Herunterladen der aktualisierten Fassung an.Die alte ESR-Variante 78 wird laut
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
des Herstellers nicht mehr aktualisiert. Ein Umstieg auf die neueren Versionen ist daher dringend anzuraten.Detailliertere Informationen liefern die Advisories der Mozilla Foundation:
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
