Kritische Sicherheits-Updates für Firefox und Thunderbird

[doelf]

Für den Webbrowser Firefox und den E-Mail-Client Thunderbird liegen kritische Sicherheits-Updates zum Download bereit. Diese kümmern sich um zwei kritische JavaScript-Fehler (CVE-2022-1802 und CVE-2022-1529), welche Manfred Paul über Trend Micros Zero Day Initiative gemeldet hatte.

JavaScript arbeitet als objektorientierte Programmiersprache mit Prototypen und genau das hat sich Manfred Paul für seine Angriffe zu Nutze gemacht:

• Bei CVE-2022-1529 werden nicht vertrauenswürdige Eingaben an den übergeordneten Prozess gesendet, was zu einer doppelten Indizierung von JavaScript-Objekten führen kann. Hierdurch manipuliert der Angreifer den Prototypen und kann eigenen JavaScript-Code in einem privilegierten, übergeordneten Prozess ausführen.
• CVE-2022-1802 beschreibt eine Prototypen-Manipulation in der Top-Level-Await-Implementierung. Wenn es einem Angreifer gelingt, die Methoden eines Array-Objekts in JavaScript durch Prototypen-Manipulation zu korrumpieren, kann der Angreifer eigenen JavaScript-Code in einem privilegierten Kontext ausführen.

Download:

• Firefox 100.0.2
• Firefox ESR 91.9.1
• Firefox für Android 100.3.0
• Thunderbird 91.9.1