Die Mozilla Foundation hat mit der Veröffentlichung neuer Firefox-Versionen zahlreiche Sicherheitslücken in ihrem Webbrowser geschlossen. Während in Firefox 94 insgesamt 13 Sicherheitslücken geschlossen wurden, sind es in der ESR-Version zehn. Sieben der Lücken wurden mit einem hohen Sicherheitsrisiko eingestuft, vier moderat und zwei niedrig.

Von dem schwerwiegendsten Problem sind beide Vorgängerversionen betroffen: Ein Fehler in der Speicherverwaltung soll dort mit genügend Aufwand zur Ausführung eingeschleusten Codes ausgenutzt werden können. Des Weiteren wurde eine Schwachstelle im Regelwerk der iframe-Sandbox (CVE-2021-38503) geschlossen - sie ermöglichte mithilfe manipulierter XSLT-Stylesheets die Skriptausführung oder den Ausbruch auf den Haupt-Frame.

Weitere Fehler wurden unter anderem auch durch neue Betriebssystem-Features erzeugt: Das Cloud-Clipboard von Windows 10 kopiert den kompletten Inhalt der Zwischenablage zur Synchronisierung mit anderen Geräten auf Microsofts Cloud-Server. Sensible Daten können durch Markierungen vor dieser Weiterverbreitung geschützt werden - die Firefox-Entwickler haben dies nun nachgeführt (CVE-2021-38505). Zudem konnte der Dateiauswahldialog zu einem Programmabsturz führen (CVE-2021-38504). Weitere geschlossene Sicherheitslücken ermöglichten Phishing-Angriffe oder Cross-Site-Scripting.

Nutzer sollten überprüfen, ob die aktuellen Versionen bereits installiert sind. Zu beachten ist dabei, dass die alte ESR-Variante 78 laut Hersteller nicht mehr aktualisiert wird. Den Advisories zu Firefox 94 sowie Firefox ESR 91.3 sind weitere Informationen zu entnehmen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE