Kritische 0-Day-Lücken in Firefox und Thunderbird gestopft

Mit Updates für alle aktuellen Entwicklungszweige beseitigt Mozilla zwei kritische Sicherheitslücken (CVE-2022-26485, CVE-2022-26486) in seinen Webbrowsern Firefox und Firefox Klar (aka Focus) für Windows, macOS, Linux und Android. Auch der eng mit dem Firefox verwandte und von der Mozilla-Tochter MZLA Technologies Corporation entwickelte E-Mail-Client Thunderbird musste abgedichtet werden. Für das Einspielen der Updates ist Eile geboten, denn die beiden Fehler wurden schon vor ihrer Entdeckung angegriffen!

Die 0-Day-Lücken
Beide Sicherheitslücken wurden von externen Experten entdeckt und an Mozilla gemeldet, der Dank hierfür geht an Wang Gang, Liu Jialei, Du Sihang, Huang Yi und Yang Kang von 360 ATA. Die Schwachstellen stammen aus der Kategorie Use-after-free, es handelt sich somit um Zugriffe auf Objekte, nachdem diese aus dem Speicher gelöscht worden. Solche Fehler führen in der Regel zum Absturz der Software und oftmals lässt sich ein solcher Absturz derart steuern, dass dabei Code eines Angreifers im Speicher platziert und ausgeführt wird. Genau das ist auch bei CVE-2022-26485 und CVE-2022-26486 der Fall. Bei CVE-2022-26485 ist ein entfernter XSLT-Parameter der Auslöser und bei CVE-2022-26486 ist es eine unerwartete Meldung im WebGPU-IPC-Framework. Beim zweiten Bug kommt erschwerend hinzu, dass der Angriffscode die Isolation der Sandbox überwinden kann. Beide Schwachstellen wurden schon vor der Bereitstellung der Sicherheits-Updates angegriffen, es handelt sich damit um sogenannte 0-Day-Lücken.

Downloads für Windows, macOS und Linux:

• Firefox 97.0.2
• Firefox ESR 91.6.1
• Thunderbird 91.6.2

Downloads für Android:

• Firefox für Android 97.3
• Firefox Klar (aka Focus) 97.3