Kritische 0-Day-Lücken in Firefox und Thunderbird gestopft

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37784
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Kritische 0-Day-Lücken in Firefox und Thunderbird gestopft

Beitrag von doelf »

Mit Updates für alle aktuellen Entwicklungszweige beseitigt Mozilla zwei kritische Sicherheitslücken (CVE-2022-26485, CVE-2022-26486) in seinen Webbrowsern Firefox und Firefox Klar (aka Focus) für Windows, macOS, Linux und Android. Auch der eng mit dem Firefox verwandte und von der Mozilla-Tochter MZLA Technologies Corporation entwickelte E-Mail-Client Thunderbird musste abgedichtet werden. Für das Einspielen der Updates ist Eile geboten, denn die beiden Fehler wurden schon vor ihrer Entdeckung angegriffen!

Die 0-Day-Lücken
Beide Sicherheitslücken wurden von externen Experten entdeckt und an Mozilla gemeldet, der Dank hierfür geht an Wang Gang, Liu Jialei, Du Sihang, Huang Yi und Yang Kang von 360 ATA. Die Schwachstellen stammen aus der Kategorie "Use-after-free", es handelt sich somit um Zugriffe auf Objekte, nachdem diese aus dem Speicher gelöscht worden. Solche Fehler führen in der Regel zum Absturz der Software und oftmals lässt sich ein solcher Absturz derart steuern, dass dabei Code eines Angreifers im Speicher platziert und ausgeführt wird. Genau das ist auch bei CVE-2022-26485 und CVE-2022-26486 der Fall. Bei CVE-2022-26485 ist ein entfernter XSLT-Parameter der Auslöser und bei CVE-2022-26486 ist es eine unerwartete Meldung im WebGPU-IPC-Framework. Beim zweiten Bug kommt erschwerend hinzu, dass der Angriffscode die Isolation der Sandbox überwinden kann. Beide Schwachstellen wurden schon vor der Bereitstellung der Sicherheits-Updates angegriffen, es handelt sich damit um sogenannte 0-Day-Lücken.

Downloads für Windows, macOS und Linux:
Downloads für Android:
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Antworten