Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Firefox 116 Patches Hoch
Firefox 116 wurde mit Patches für 14 CVEs veröffentlicht, darunter neun Schwachstellen mit hohem Schweregrad, von denen einige zur Remote-Codeausführung oder Sandbox-Escapes führen können.
Von
Mozilla hat am Dienstag die Veröffentlichung von Firefox 116, Firefox ESR 115.1 und Firefox ESR 102.14 angekündigt, die Patches für mehrere Sicherheitslücken mit hohem Schweregrad enthalten.
Der Browser-Hersteller listet in seinem Advisory insgesamt 14 CVEs auf, von denen neun als „hoher Schweregrad“ eingestuft sind. Drei der CVEs beziehen sich auf Speichersicherheitsfehler in Firefox.
Der erste der schwerwiegenden Fehler, der als CVE-2023-4045 verfolgt wird, wird als Umgehung von Cross-Origin-Beschränkungen in Offscreen Canvas beschrieben, wodurch Cross-Origin-Tainting nicht ordnungsgemäß verfolgt werden konnte.
Das Problem kann dazu führen, dass Webseiten Bilder anzeigen, die auf einer Seite einer anderen Website angezeigt werden, stellt Sophos in einer Analyse des Updates fest. Browser enthalten eine Same-Origin-Richtlinie, die verhindert, dass HTML- und JavaScript-Code, der von einer Website stammt, auf Inhalte auf anderen Websites zugreift.
Das zweite hochschwere Problem, das Firefox 116 behebt, ist CVE-2023-4046, das als Verwendung eines falschen Werts während der WASM-Kompilierung beschrieben wird.
„Unter bestimmten Umständen könnte ein veralteter Wert für eine globale Variable in der WASM-JIT-Analyse verwendet worden sein. Dies führte zu einer fehlerhaften Kompilierung und einem möglicherweise ausnutzbaren Absturz im Inhaltsprozess“, stellt Mozilla fest.
Das Browser-Update behebt auch CVE-2023-4047, eine Umgehung von Berechtigungsanfragen durch Clickjacking. Eine Seite könnte Benutzer dazu verleiten, auf ein sorgfältig platziertes Element zu klicken, die Eingabe jedoch als Klick auf einen Sicherheitsdialog registrieren, der dem Benutzer nicht angezeigt wurde.
„Potenziell riskante Berechtigungen wie der Zugriff auf Ihren Standort, das Senden von Benachrichtigungen, die Aktivierung des Mikrofons usw. sollten erst erteilt werden, wenn Sie eine klare Warnung des Browsers selbst gesehen und darauf reagiert haben“, stellt Sophos fest.
Zu den drei weiteren Schwachstellen mit hohem Schweregrad, die Firefox 116 behebt, gehören CVE-2023-4048 (ein Lesefehler außerhalb der Grenzen, der zum Absturz von DOMParser führt, wenn eine manipulierte HTML-Datei dekonstruiert wird) und CVE-2023-4049 (Race Conditions, die zu potenziell ausnutzbaren Sicherheitslücken führen). Use-After-Free-Schwachstellen) und CVE-2023-4050 (Stapelpufferüberlauf im StorageManager, der möglicherweise zu einem Sandbox-Escape führt).
Die in Firefox 116 behobenen Speichersicherheitsfehler, die als CVE-2023-4056, CVE-2023-4057 und CVE-2023-4058 verfolgt werden, könnten zur Ausführung willkürlichen Codes geführt haben.
Die meisten dieser schwerwiegenden Probleme wirken sich laut Mozilla auch auf die erweiterte Unterstützung von Firefox und Thunderbird aus und wurden in Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1 und Thunderbird 102.14 behoben.
Mozilla erwähnt nicht, dass eine dieser Schwachstellen für Angriffe ausgenutzt wird.
Verwandt:Firefox 115 behebt hochgradige Use-After-Free-Schwachstellen
Verwandt:Mozilla behebt schwerwiegende Sicherheitslücken mit der Veröffentlichung von Firefox 111
Verwandt:Firefox aktualisiert Patch 10 mit schwerwiegenden Sicherheitslücken
Ionut Arghire ist internationaler Korrespondent für SecurityWeek.
Abonnieren Sie das E-Mail-Briefing von SecurityWeek, um über die neuesten Bedrohungen, Trends und Technologien sowie aufschlussreiche Kolumnen von Branchenexperten informiert zu bleiben.
Besprechen Sie mit Sicherheitsexperten das ungenutzte Potenzial von ZTNA zur Reduzierung von Cyber-Risiken und zur Stärkung des Unternehmens.
Nehmen Sie an einem Webinar von Microsoft und Finite State teil, in dem eine neue Strategie zur Sicherung der Software-Lieferkette vorgestellt wird.
Das Durchdenken der guten, schlechten und hässlichen Gegenwart ist ein Prozess, der uns „den negativen Fokus zum Überleben, aber einen positiven zum Gedeihen“ gibt. (Marc Solomon)
Der Austausch von Bedrohungsinformationen und die Zusammenarbeit mit anderen Threat-Intelligence-Gruppen tragen dazu bei, den Kundenschutz zu stärken und die Wirksamkeit des Cybersicherheitssektors insgesamt zu steigern. (Derek Manky)
Die Sicherung von APIs ist eine noble, wenn auch komplexe Aufgabe. Sicherheitsteams können diese 10 Schritte nutzen, um ihre APIs zu schützen. (Joshua Goldfarb)
Während Silos erhebliche Gefahren für die Cybersicherheitslage eines Unternehmens darstellen, dient die Konsolidierung als leistungsstarke Lösung zur Bewältigung dieser Risiken und bietet verbesserte Transparenz, Effizienz, Möglichkeiten zur Reaktion auf Vorfälle und Risikomanagement. (Matt Wilson)
Der Bedarf an Cyber-Resilienz ergibt sich aus der wachsenden Erkenntnis, dass herkömmliche Sicherheitsmaßnahmen nicht mehr ausreichen, um Systeme, Daten und das Netzwerk vor Kompromittierung zu schützen. (Torsten George)
Weniger als eine Woche nach der Ankündigung, den Dienst aufgrund eines Konflikts mit einem (zu diesem Zeitpunkt) ungenannten Sicherheitsforscher auf unbestimmte Zeit einzustellen ...
OpenAI hat einen ChatGPT-Datenverstoß am selben Tag bestätigt, an dem eine Sicherheitsfirma berichtete, dass sie die Verwendung einer Komponente gesehen habe, die von einem ... betroffen sei.
Die Bedrohung der Lieferkette steht in direktem Zusammenhang mit dem Angriffsflächenmanagement, aber die Lieferkette muss bekannt und verstanden werden, bevor sie...
Das neueste Chrome-Update enthält Patches für acht Schwachstellen, darunter sieben, die von externen Forschern gemeldet wurden.
Eine Gruppe von sieben Sicherheitsforschern hat zahlreiche Schwachstellen in Fahrzeugen von 16 Autoherstellern entdeckt, darunter Fehler, die es ihnen ermöglichten, Autos zu steuern ...
Patch-Dienstag: Microsoft warnt davor, dass die Sicherheitslücke (CVE-2023-23397) zur Ausnutzung führen könnte, bevor eine E-Mail im Vorschaufenster angezeigt wird.
Apple hat Updates für macOS, iOS und Safari veröffentlicht und alle enthalten einen WebKit-Patch für eine Zero-Day-Schwachstelle mit der Bezeichnung CVE-2023-23529.
Ein Forscher bei IOActive hat herausgefunden, dass Heimsicherheitssysteme von SimpliSafe von einer Sicherheitslücke betroffen sind, die es technisch versierten Einbrechern ermöglicht, ... aus der Ferne zu deaktivieren.
Mozilla hat am Dienstag die Veröffentlichung von Firefox 116, Firefox ESR 115.1 und Firefox ESR 102.14 angekündigt, die Patches für mehrere Sicherheitslücken mit hohem Schweregrad enthalten.Verwandt:Verwandt:Verwandt: