Werbung
Innovationen treffen Unsinn: amazon.de launchpad - kickstarter


Firefox 85.0.1 und ESR 78.7.1: Maßnahmen gegen kritischen Bug und NTFS-Angriffe

Meldung von doelf, Dienstag der 09.02.2021, 10:39:36 Uhr

logo

Mit dem Update auf die Firefox-Versionen 85.0.1 und ESR 78.7.1 haben Mozillas Entwickler einen kritischen Pufferüberlauf in der Grafikbibliothek Angle geschlossen und Maßnahmen gegen Angriffe auf das unter Windows genutzte Dateisystem NTFS ergriffen. Dazu kommen vier Fehlerbereinigungen im Firefox 85.0.1.

Schutz vor Angriffen auf Windows und NTFS
Bereits seit Oktober 2020 twittert der Sicherheitsforscher Jonas Lykkegaard regelmäßig über Schwachstellen im Dateisystem NTFS, welches auf fast allen Windows-Systemen zum Einsatz kommt. Dieses stolpert über bestimmte Pfade, welche einen Systemabsturz auslösen können. In besonders schweren Fällen wird das Dateisystem derart stark beschädigt, dass Windows nicht mehr starten kann. Während Abhilfe seitens Microsoft auf sich warten lässt, sind Angriffe über speziell gestaltete .URL-Shortcuts zu einem alltäglichen Ärgernis geworden. Zumindest die aktualisierten Versionen des Firefox erkennen nun die bösartigen Pfade und verhindern den Zugriff.

Ein kritischer Pufferüberlauf unter Windows
Abraruddin Khan und Omair, die mit Trend Micros Zero Day Initiative zusammenarbeiten, haben einen kritischen Pufferüberlauf (MOZ-2021-0001) in der Grafikbibliothek Angle entdeckt. Bei Tiefenabstandsberechnungen für komprimierte Texturen wurde die Blockgröße nicht berücksichtigt und stattdessen einfach der Zeilenabstand mit der Pixelhöhe multipliziert. Hierdurch konnte es vorkommen, dass die Ladefunktionen über das Ende des Puffers hinaus las - dies geschieht allerdings nur unter Windows. Auch dieser Fehler wurde in den Firefox-Versionen 85.0.1 und ESR 78.7.1 entschärft.

Zusätzliche Korrekturen im Firefox 85.0.1
Vier weitere Korrekturen betreffen nur den Firefox 85.1: Da wäre zunächst ein Programmabsturz bei der SPNEGO-Authentifizierung, der ausschließlich unter macOS in Verbindung mit Apples Silicon-CPUs auftritt. Ein weiterer Absturz des Firefox trat aufgrund eines unerwarteten Zustands der Cache-API auf und bei Verwendung des Firefox-Flatpak bedurfte der Umgang mit externen URL-Schema-Handlern einer Reparatur. Beim Ausdruck konnte es vorkommen, dass nach dem Druck des Dokuments eine leere Seite nachgeschoben wurde. Dies wird nun abgefangen.

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]