Browser und E-Mail Sicherheitslücken: Updates für Firefox und Thunderbird verfügbar
• 09.02.22 Aktuell gibt es eine neue, schwere Sicherheitslücke in den Browsern von Firefox. Betroffen ist auch der E-Mail Client Thunderbird von der Mozilla Foundation. Dazu gibt es nun aktuelle Versionen mit Firefox Version 97, Firefox ESR 91.6 und Thunderbird 91.6. Dabei stellen die Sicherheitslücken teils ein hohes Risiko dar und
|
Browser und E-Mail Sicherheitslücken: Updates für Firefox und Thunderbird verfügbar
Damit können die Angreifer dem Nutzer einen entsprechenden Schadcode unterjubeln. Dabei wird die Sicherheitslücke als jeweils kritisch angesehen. Entsprechende Updates sind dann auch schon bei Firefox und Thunderbird verfügbar.
PC-Nutzer sollten neue Updates für Firefox und Chrome einspielen -Abbildung: (Pixabay.com-Lizenz)/ pixabay.com |
So werden bei Firfox und Thunerbird insgesamt 13 Fehler beseitigt, wie es aus den Meldung zu Firefox 97, Firefox ESR 91.6 und Thunderbird 91.5 hervorgeht.
-
• # CVE-2022-22753: Rechteausweitung auf SYSTEM unter Windows über den Wartungsdienst
• Reporter: Seb Patane
• Auswirkung: hoch
• Beschreibung:
Im Maintenance (Updater) Service existierte ein Time-of-Check Time-of-Use-Fehler, der missbraucht werden konnte, um Benutzern Schreibzugriff auf ein beliebiges Verzeichnis zu gewähren. Dies hätte verwendet werden können, um den SYSTEM-Zugriff zu eskalieren. Dieser Fehler betrifft nur Firefox unter Windows. Andere Betriebssysteme sind nicht betroffen.
-
• # CVE-2022-22754: Erweiterungen könnten die Berechtigungsbestätigung während des Updates umgangen haben
• Reporter: Rob Wu
• Auswirkung: hoch
• Beschreibung:
Wenn ein Benutzer eine Erweiterung eines bestimmten Typs installiert hat, könnte sich die Erweiterung automatisch aktualisiert haben und dabei die Eingabeaufforderung umgehen, die der neuen Version die neuen angeforderten Berechtigungen gewährt.
-
• # CVE-2022-22755: XSL könnte die Ausführung von JavaScript zugelassen haben, nachdem ein Tab geschlossen wurde
• Reporter: Jack Wrenn
• Auswirkung: mäßig
• Beschreibung: Durch die Verwendung von XSL-Transformationen hätte ein böswilliger Webserver einem Benutzer ein XSL-Dokument bereitstellen können, das JavaScript (innerhalb der Grenzen der Same-Origin-Richtlinie) auch nach dem Schließen der Registerkarte weiter ausführt. Verweise
-
• # CVE-2022-22756: Das Ziehen und Ablegen eines Bildes könnte dazu geführt haben, dass das abgelegte Objekt eine ausführbare Datei war
• Reporter: Abdulrahman Alqabandi
• Auswirkung: mäßig
• Beschreibung: Wenn ein Benutzer dazu überredet wurde, ein Bild per Drag-and-Drop auf seinen Desktop oder einen anderen Ordner zu ziehen, hätte das resultierende Objekt in ein ausführbares Skript umgewandelt werden können, das beliebigen Code ausgeführt hätte, nachdem der Benutzer darauf geklickt hätte.
-
• # CVE-2022-22757: Remote Agent hat die Verbindung lokaler Websites nicht verhindert
• Reporter: James Graham
• Auswirkung: mäßig
• Beschreibung: Der in WebDriver verwendete Remote Agent hat die Host- oder Origin-Header nicht validiert. Dies hätte es Websites ermöglichen können, sich wieder lokal mit dem Browser des Benutzers zu verbinden, um ihn zu steuern. Dieser Fehler betraf Firefox nur, wenn WebDriver aktiviert war, was nicht die Standardkonfiguration ist.
-
• # CVE-2022-22758: tel: links könnten USSD-Codes an den Dialer von Firefox für Android gesendet haben
• Reporter: Kirtikumar Anandrao Ramchandani, Patrick Walker & Eric Lawrence
• Auswirkung: mäßig
• Beschreibung: Beim Klicken auf einen Tel: Link, USSD-Codes, angegeben nach a Zeichen, würde in der Telefonnummer enthalten sein. Auf bestimmten Telefonen oder bei bestimmten Netzbetreibern können, wenn die Nummer gewählt wird, Aktionen auf dem Konto eines Benutzers ausgeführt werden, ähnlich einem Cross-Site-Request-Forgery-Angriff. Dieser Fehler betrifft nur Firefox für Android. Andere Betriebssysteme sind nicht betroffen.*
-
• # CVE-2022-22759: Sandbox-iFrames könnten ein Skript ausgeführt haben, wenn die übergeordneten Elemente angehängt wurden
• Reporter: Johann Karlsson
• Auswirkung: mäßig
• Beschreibung: Wenn ein Dokument einen Sandbox-Iframe ohne allow-scripts, und anschließend ein Element an das Dokument des Iframes angehängt, das z. B. einen JavaScript-Event-Handler hatte - der Event-Handler wäre trotz der Sandbox des Iframes ausgeführt worden.
-
• # CVE-2022-22760: Cross-Origin-Antworten konnten zwischen Skript- und Nicht-Skript-Inhaltstypen unterschieden werden
• Reporter: Luan Herrera
• Auswirkung: mäßig
• Beschreibung: Beim Importieren von Ressourcen mit Web Workers würden Fehlermeldungen den Unterschied zwischen unterscheiden application/javascriptAntworten und Nicht-Skript-Antworten. Dies könnte missbraucht worden sein, um Informationen ursprungsübergreifend zu erfahren.
-
• # CVE-2022-22761: Frame-ancestors Content Security Policy-Richtlinie wurde für gerahmte Erweiterungsseiten nicht erzwungen
• Reporter: Mart Gil Robles (Mart bei FlowCrypt)
• Auswirkung: mäßig
• Beschreibung: Über das Internet zugängliche Erweiterungsseiten (Seiten mit dem Schema moz-extension://) setzten die frame-ancestors-Direktive nicht korrekt durch, wenn sie in der Inhaltssicherheitsrichtlinie der Weberweiterung verwendet wurde.
-
• # CVE-2022-22762: JavaScript-Dialoge könnten in Firefox für Android über anderen Domains angezeigt worden sein
• Reporter: James Lee
• Auswirkung: niedrig
• Beschreibung: Unter bestimmten Umständen könnte eine JavaScript-Warnung (oder Aufforderung) angezeigt worden sein, während eine andere Website darunter angezeigt wurde. Dies könnte missbraucht worden sein, um den Benutzer auszutricksen. Dieser Fehler betrifft nur Firefox für Android. Andere Betriebssysteme sind nicht betroffen.
-
• # CVE-2022-22764: Speichersicherheitsfehler in Firefox 97 und Firefox ESR 91.6 behoben
• Reporter: Mozilla-Entwickler und -Community
• Auswirkung: hoch
• Beschreibung: Die Mozilla-Entwickler Paul Adenot und das Mozilla Fuzzing Team berichteten von Speichersicherheitsfehlern in Firefox 96 und Firefox ESR 91.5. Einige dieser Fehler zeigten Hinweise auf Speicherbeschädigungen und wir nehmen an, dass einige davon mit genügend Aufwand hätten ausgenutzt werden können, um beliebigen Code auszuführen.
-
• # CVE-2022-0511: Speichersicherheitsfehler in Firefox 97 behoben
• Reporter: Mozilla-Entwickler und -Community
• Auswirkung: hoch
• Beschreibung: Die Mozilla-Entwickler und Community-Mitglieder Gabriele Svelto, Sebastian Hengst, Randell Jesup, Luan Herrera, Lars T. Hansen und das Mozilla Fuzzing Team berichteten von Speichersicherheitsfehlern in Firefox 96. Einige dieser Fehler zeigten Hinweise auf Speicherbeschädigungen, und wir gehen davon aus, dass dies ausreichend ist Einige davon hätten ausgenutzt werden können, um beliebigen Code auszuführen.
Daher ist auch davon auszugehen, dass alle älteren Firefox Browser für den Angreifer benutzbar sind, um erfolgreich eine Attacke durchzuführen.
Standardmäßig wird sich Firefox selbst automatisch aktualisieren, aber die Nutzer können jederzeit eine Aktualisierung manuell anstoßen. Bei manuellen Aktualisierungen lädt Firefox zwar das jeweilige Update herunter, es wird jedoch erst bei einem Neustart von Firefox installiert und ausgeführt.
Falls entgegen der Empfehlung, Betriebssysteme nicht mehr zu nutzen, die herstellerseitig nicht mehr unterstützt werden, aus individuellen Gründen noch Windows-Versionen wie XP und Server 2003 eingesetzt werden, sollten die Updates manuell heruntergeladen und installiert werden.
Neue Testergebnisse beim Virenschutz: Gratis Windows Defender ist wiederholt Gut im Test
Passend dazu gibt es aktuell einen neuen AV-Test bei den entsprechenden Sicherheitslösungen. Gleich sieben Pakete erhielten sogar die Auszeichnung Top-Product, darunter war auch das gratis Windows Defender.
Neue Testergebnisse beim Virenschutz --Screenshot: AV Test |
So stehen mittlerweile laut den Testern immer mehr private Windows-PCs im Fokus der Angreifer. Schließlich finden sich darauf zum Beispiel wertvolle Spiele-Accounts, Zugänge zum Online-Banking oder volle Mail-Adressbücher zur Weiterverbreitung. Sehr beliebt ist die komplette Versklavung eines PCs als Teil eines Botnets. Darin darf der PC dann als Angriffsdrohne oder Bitcoin-Schürfer dienen.
Die besten Ergebnisse erzielten die drei Security-Suiten mit der Bestpunktzahl von 18. Dieses sind F-Secure, McAfee, und Symantec. Mit 17,5 Punkten folgen Avast, Avira, Kaspersky Lab und VIPRE Security.
Gratis Windows Defender ist "Gut" laut Stiftung Warentest
Im März hatte bei Stiftung Warentest schon ein Test von Anti-Viren-Lösungen stattgefunden Dabei haben bei den Testern 11 Programme im Test mit "sehr gut" abgeschnitten, drei davon waren sogar kostenlos. Der vorinstallierte Microsoftschutz hat aufgeholt. Der einzige Schwachpunkt ist der dabei allerdings der Phishing-Schutz. Dabei haben laut den Testern kostenlose Antiviren-Programme zum Teil weniger Funktionen als die Vollversionen, ihre Schutzwirkung ist aber vergleichbar.
Microsoft Defender hat sich verbessert
Bei den neuen Test war die größte Überraschung der Microsoft Defender. Dabei ist der Windows-Defender auf Rechnern mit dem Betriebssystem Windows 10 vorinstalliert. Dabei hat die Sicherheit im Vergleich zum Vorjahr deutlich aufgeholt.So erkennt das Microsoft Produkt Defender Bedrohungen ebenso schnell wie die sehr guten Konkurrenzprodukte. Es gibt nur keinen Schutz vor Phishing. Dabei geht es um den Versuch, über bösartige Webseiten und E-Mail-Links Zugangsdaten argloser Nutzer abzugreifen.
Während Microsoft beim Schutz aufgeholt hat, verzichtet Apple immer noch auf jede Schutzfunktion. Das Betriebssystem MacOS ist weniger gefährdet, es gibt kaum Angriffszenarien. Allerdings gibt es schon 20 Schadprogramme laut den Testern, die MacOS angreifen können. Denen sind Apple-Nutzer ohne Sicherheits-Software bislang schutzlos ausgeliefert.
Sollten Sie nun die Sicherheit bei ihrem Smartphones und PCs verbessern wollen, erhalten bei uns auch eine grosse Übersicht an Anti-Viren Programme, sowie die Software von den Anbietern Bitdefender, AVG und die Software von Kaspersky.
Damit Ihnen in Zukunft keine aktuellen News und Spar-Angebote entgehen, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller informiert sind Sie aber via Twitter und Facebook informiert.
Verwandte Nachrichten: |
|
Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten |
|