Webbrowser: Neue Firefox-Releases schließen mehrere Sicherheitslücken
Die Mozilla-Entwickler haben die Firefox-Versionen 117, ESR 115.2 und ESR 102.15 herausgegeben, die mehrere teils hochriskante Sicherheitslücken schließen.
(Bild: heise online)
Die Entwickler der Mozilla-Foundation haben den Webbrowser Firefox in neuen Versionen mit zahlreichen sicherheitsrelevanten Fehlerkorrekturen veröffentlicht. Darunter finden sich auch als hochriskant eingestufte Lücken.
Viele der Lücken betreffen die Vorgängerversionen der jetzt aktuellen Fassungen Firefox 117, ESR 115.2 sowie 102.15 gleichermaßen. So finden sich fünf als hochriskant eingestufte Schwachstellen in allen genannten Browsern (CVE-2023-4573, CVE-2023-4574, CVE-2023-4575, CVE-2023-4576, CVE-2023-4584). Lediglich in Firefox 117 und ESR 115.2 sind zudem zwei ebenfalls als hohes Risiko eingestuften Schwachstellen ausgebessert (CVE-2023-4577, CVE-2023-4585).
Firefox: Auch weniger gravierende Lücken geschlossen
Zudem stufen die Programmierer vier Lücken in Firefox 117 als mittlere Bedrohung ein (CVE-2023-4578, CVE-2023-4579, CVE-2023-4580, CVE-2023-4581) und zwei als niedriges Risiko (CVE-2023-4582, CVE-2023-4583). Davon betreffen zwei der mittelschweren und die niedrig eingestuften Lecks auch Firefox ESR 115.2; eine mittlere Lücke zudem Firefox ESR 102.15 (CVE-2023-4581). Zwei mittelschwere Bedrohungen betreffen ausschließlich Firefox ESR 115.2 (CVE-2023-4051, CVE-2023-4053).
Die hochriskanten Lücken basieren zum Großteil auf Use-after-free-Szenarien, bei denen bereits freigegebene Ressourcen durch den Programmcode wiederverwendet werden. Der dadurch zugegriffene Speicher ist in undefinierten Zustand. Das erlaubt oftmals das Einschleusen und Ausführen von Schadcode. Eine der Lücken betrifft einen Integer-Überlauf in RecordedSourceSurfaceCreation, wodurch ein Pufferüberlauf auf dem Heap auftreten und in dessen Folge sensible Informationen abfließen können, mit denen Schadcode aus der Sandbox ausbrechen könnte (CVE-2023-4576).
Die Sicherheitsmeldungen für die in Kürze ebenfalls erscheinenden Thunderbird-Updates sind noch nicht verfügbar, decken sich im Regelfall jedoch mit den Inhalten der Firefox-ESR-115.2- respektive Firefox-ESR-102.15-Aktualisierungen. Die Updates sollten Nutzer aufgrund der Risikoeinstufungen zügig vornehmen.
Durch Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei aufeinandergestapelten Strichen findet, und dort dem weiteren Weg über "Hilfe" - "Über Firefox" (respektive "Über Thunderbird") öffnet sich der Versionsdialog. Bei Verfügbarkeit lädt der auch gleich die aktualisierte Software herunter, installiert sie und fordert zum nötigen Neustart der Software auf.
Die Sicherheitsmeldungen der Mozilla-Entwickler erläutern die Schwachstellen etwas näher.
- In Firefox 117.0 geschlossene Sicherheitslücken
- In Firefox ESR 115.2 geschlossene Sicherheitslücken
- In Firefox ESR 102.15 geschlossene Sicherheitslücken
In den Releasenotes zu Firefox 117 finden sich nur kleinere Änderungen. So können Mac-Nutzer das Verhalten der Tab-Taste in den Einstellungen anpassen, sodass sie etwa den Fokus zwischen Formularfeldern und Links wechselt. Die Video-Liste von Youtube scrollt nun auch bei der Navigation mit einem Screenreader korrekt. Die weiteren Änderungen machen eher Webentwickler glücklich.
Anfang August hatte die Mozilla-Foundation Firefox 116, ESR 115.1 sowie ESR 102.14 veröffentlicht. Auch da mussten die Entwickler zum Teil hochriskante Schwachstellen im Webbrowser ausbessern.
(dmk)
