Schwere Sicherheitslecks: Mozilla veröffentlicht Notfall-Update für Firefox
und Thunderbird
Die Schwachstellen werden von Cyberkriminellen bereits für Angriffe genutzt
– etwa durch schädlichen Code auf Webseiten. Eine Aktualisierung ist
dringend empfohlen
Wer noch nicht die aktuellste Ausgabe von Firefox verwendet, sollte dringend
updaten.
Foto: DER STANDARD/Pichler
Nachdem es vor nicht allzu langer Zeit Googles Browser Chrome erwischt hat,
sind nun bei Mozillas Surftool schwere Sicherheitslücken aufgetaucht, die
bereits für Angriffe auf Nutzer verwendet werden. Neben Firefox ist zudem
auch der E-Mail-Client Thunderbird betroffen.
Die Schwachstellen tragen die Kennungen CVE-2022-26485 und CVE-2022-26486.
Bei beiden handelt es sich um sogenannte "Use after free"-Lecks, die die
Ausnutzung von eigentlich freigegebenen Speicherbereichen für verschiedene
Attacken beschreiben. Details dazu werden aus Sicherheitsgründen noch
zurückgehalten.
Bekannt ist aber, dass das Aufrufen einer mit entsprechendem Code
ausgestatteten Website ausreichen kann, um angegriffen zu werden, was ein
verhältnismäßig bequemer Angriffsvektor ist. Die Einstufung der
Gefährlichkeit gemäß dem "Common Vulnerability Scoring System" (CVSS) wird
mindestens bei 9,0 von maximal 10 liegen, also im "kritischen" Bereich, wie
Mozillas Security Advisory zu entnehmen ist.
Updates verfügbar
Das Unternehmen hat bereits neue Versionen seiner Programme veröffentlicht,
in denen die Schwachstellen behoben sind. Nutzer sollten diese
schnellstmöglich installieren. Für den Firefox-Browser am Desktop (Windows,
Linux, macOS) ist dies Ausgabe 97.0.2, für die um erweiterten Trackingschutz
ergänzte "Klar"-Ausgabe ist es 97.0.3. Für den
Extended-Support-Release-Zweig ist es Version 91.6.1 und bei der
Android-Version des Browsers 97.3. Das Update für Thunderbird trägt die
Versionsnummer 91.6.2.
In der Desktopversion von Firefox lässt sich die Versionsnummer durch einen
Klick auf den Menübutton (drei Striche im rechten oberen Eck), gefolgt von
"Hilfe" und "Über Firefox", einsehen. Der dabei geöffnete Dialog sollte, so
der Browser noch nicht aktuell ist, auch einen Hinweis auf das verfügbare
Update anzeigen und die Installation per Klick und anschließendem Neustart
des Programms ermöglichen.
Alternativ lässt sich das Programm auch mit dem neuesten Installationspaket
von der Firefox-Website aktualisieren. Die Android-Ausgabe sollte sich
automatisch über Google Play updaten bzw. die Aktualisierung sich im Play
Store anstoßen lassen. (gpi, 7.3.2022)
https://www.derstandard.de/story/2000133895482/schwere-sicherheitslecks-mozilla-veroeffentlicht-notfall-update-fuer-firefox-und-thunderbird