Mozilla hat in der vergangenen Woche zweimal zugunsten der Sicherheit an seinem Webbrowser Firefox nachgebessert. Wenn Angreifer die zwei Sicherheitslücken miteinander kombiniert hätten, ergab sich daraus ein Vielfaches ihres ursprünglichen Gefahrenpotenzials. Der E-Mail-Client Thunderbird war ebenfalls von den Lücken betroffen und auch er erhielt nun ein wichtiges Sicherheitsupdate.

Einerseits fixt das Update, welches die E-Mail-Client-Version auf 60.7.2 anhebt, die kritische Sicherheitslücke CVE-2019-11707, durch die Angreifer mittels JavaScript-Code einen Speicherfehler provozieren und schlimmstenfalls einen Systemabsturz herbeiführen könnten. Andererseits behebt das Update auch CVE-2019-11708 (Risikoeinstufung "hoch"). Angreifern könnte diese zweite Lücke den Ausbruch aus Sandboxumgebungen und in Kombination mit CVE-2019-11707 die anschließende Ausführung beliebigen Programmcodes auf dem System ermöglichen.

Das Mozilla-Team beobachtete im Falle des Firefox-Browsers aktive Angriffe über die beschriebene Lückenkombination. Dass die Angriffsmöglichkeiten auf den E-Mail-Client deutlich eingeschränkter sind, legt das Security Advisory zur aktuellen Thunderbird-Version 60.7.2 nahe. Die Lücken könnten grundsätzlich nicht via E-Mail ausgenutzt werden, weil Scripting beim Lesen derselben deaktiviert sei, heißt es dort. "In Browsern oder Browser-ähnlichen Kontexten" würden sie dennoch ein "potenzielles Risiko" darstellen.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE