Sicherheitslücken erlauben Angreifern unter bestimmten Voraussetzungen die Ausführung von Schadcode in Mozilla's Firefox, Firefox ESR und Thunderbird. Systeme sollen im Falle eines erfolgreichen Angriffs vollständig kompromittiert werden können.

Beim Parsen von nicht-UTF8-URLs sollen bei beiden Webbrowsern Probleme auftreten, welche von Angreifern missbraucht werden können sollen, um Schadcode auf den Systemen einzuschleusen (CVE-2022-40962 „hoch“). In Thunderbird sei es Angreifern möglich, Nachrichten abzugreifen oder zu manipulieren, wenn Opfer auf eine präparierte HTML-Mail mit einem meta Tag antworten (CVE-2022-3033 „hoch“). Nicht betroffen seien Nutzer, die die Anzeige des Nachrichtentextes auf "simple html" oder "plain text" gestellt haben.

Die Mozilla-Entwickler sollen die Sicherheitslücken in den Versionen Firefox 105, Firefox ESR 102.3 und Thunderbird 91.13.1 sowie ab Thunderbird 102.2.1 geschlossen haben.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE