Mozilla warnt vor Sicherheitslücken im Browser Firefox ESR und dem Mailclient Thunderbird. Auch der Tor Browser ist betroffen, weil er auf Thunderbird ESR aufbaut.
Über die Sicherheitslücken, die alle mit der Risikostufe hoch bewertet sind, können Angreifer unter Umständen Code ausführen. Mozilla stellt Updates für seine Programme zur Verfügung, die die Probleme beheben. Auch die Macher des Tor Browsers haben entsprechend reagiert.
Eine der Lücken in Thunderbird betrifft den Umgang mit NSSToken-Objekten. Die ließen sich auf unsichere Weise aufrufen, was zu einem Use-after-free und potentiell ausnutzbaren Absturz führen könne. Eine weitere Lücke wird durch eine unerwartete hohe Zahl von WebAuthN-Extensions hervorgerufen. Auch hier lässt sich ein Absturz provozieren. Auch dieses Problem lasse sich eventuell durch Exploits zum Ausführen von Code nuten. Die beiden genannten Lücken betreffen auch Firefox ESR. Firefox ESR 91.8 beseitigt das Problem und Thunderbird 91.8 tut das ebenfalls. Der Tor Browser 11.0.10 aktualisiere Firefox unter Windows, MacOS und Linux auf 91.8.0esr, teilen die Macher des Tor Browsers mit. Zusätzlich zu den Security-Fixes haben die Entwickler dem Tor Brwoser noch einige Paketupdates spendiert.




