Rechercher dans ce blog

Monday, April 11, 2022

Schadcode-Lücken in Firefox ESR, Thunderbird und Tor Browser geschlossen - heise online

Schadcode-Lücken in Firefox ESR, Thunderbird und Tor Browser geschlossen

Alert! Dennis Schirrmacher

(Bild: VideoFlow/Shutterstock.com)

Es gibt wichtige Sicherheitsupdates für die Webbrowser Firefox ESR und Tor Browser und für den Mailclient Thunderbird.

Angreifer könnten Systeme mit Firefox ESR, Thunderbird oder Tor Browser attackieren und im schlimmsten Fall Schadcode ausführen. Dagegen abgesicherte Versionen stehen zum Download bereit.

Aus Warnmeldungen zu Firefox ESR 91.8 [1] und Thunderbird 91.8 [2] geht hervor, dass die Entwickler mehrere Sicherheitslücken (CVE-2022-28289, CVE-2022-28281, CVE-2022-1097) geschlossen haben, die mit dem Bedrohungsgrad "hoch" eingestuft sind.

DoS- und Schadcode-Attacken

Hier könnten Angreifer an verschiedenen Stellen ansetzen, um Speicherfehler zu provozieren. Klappt das, stürzt Software in der Regel ab (Denial of Service DoS). Oft können Angreifer über so eine Attacke aber auch Schadcode auf Systeme schieben und ausführen. In einem Fall soll das durch eine unerwartete Anzahl von WebAuthN-Erweiterungen in einem Register-Befehl der Fall sein. Wie eine Attacke im Kontext des Authentifizierungsstandards im Detail aussehen könnte, ist derzeit nicht bekannt.

Thunderbird ist über die gleichen Lücken attackierbar und bringt zusätzlich noch eine OpenPGP-Schwachstelle (CVE-2022-1197 "moderat") mit. An dieser Stelle könnte der Mailclient einen eigentlich widerrufenen Schlüssel behalten.

Das anonymisierende Tor Browser basiert auf Firefox ESR und bekommt die Sicherheitsupdates ebenfalls serviert. Überdies haben die Entwickler einem Blog-Beitrag zufolge [3] NoScript 11.4.3 implementiert und einige Bugs aus der Welt geschafft. Die Tor-Browser-Ausgabe 11.0.10 ist aktuell.

URL dieses Artikels:
https://www.heise.de/-6668028

Links in diesem Artikel:
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2022-14/
[2] https://www.mozilla.org/en-US/security/advisories/mfsa2022-15/
[3] https://blog.torproject.org/new-release-tor-browser-11010/
[4] mailto:des@heise.de

Copyright © 2022 Heise Medien

Adblock test (Why?)


Schadcode-Lücken in Firefox ESR, Thunderbird und Tor Browser geschlossen - heise online
Read More
at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

One UI 5.1: Samsung kündigt Update-Start für ältere Galaxy-Smartphones an, los geht es u.a. mit Galaxy S20, S21 und S22 - Notebookcheck.com

Nachdem es vor wenigen Tagen bereits inoffizielle Informationen zum Rollout von Samsungs One UI 5.1 für die ersten Modelle jenseits der ne...