Browser und E-Mail Sicherheitslücken: Updates für Firefox und Thunderbird verfügbar

PC-Nutzer sollten neue Updates für Firefox und Chrome einspielen -Abbildung: (Pixabay.com-Lizenz)/ pixabay.com

So werden bei Firfox und Thunerbird insgesamt 13 Fehler beseitigt, wie es aus den Meldung zu Firefox 97, Firefox ESR 91.6 und Thunderbird 91.5 hervorgeht.

• # CVE-2022-22753: Rechteausweitung auf SYSTEM unter Windows über den Wartungsdienst
• Reporter: Seb Patane
• Auswirkung: hoch
• Beschreibung:
Im Maintenance (Updater) Service existierte ein Time-of-Check Time-of-Use-Fehler, der missbraucht werden konnte, um Benutzern Schreibzugriff auf ein beliebiges Verzeichnis zu gewähren. Dies hätte verwendet werden können, um den SYSTEM-Zugriff zu eskalieren. Dieser Fehler betrifft nur Firefox unter Windows. Andere Betriebssysteme sind nicht betroffen.

• # CVE-2022-22754: Erweiterungen könnten die Berechtigungsbestätigung während des Updates umgangen haben
• Reporter: Rob Wu
• Auswirkung: hoch
• Beschreibung:
Wenn ein Benutzer eine Erweiterung eines bestimmten Typs installiert hat, könnte sich die Erweiterung automatisch aktualisiert haben und dabei die Eingabeaufforderung umgehen, die der neuen Version die neuen angeforderten Berechtigungen gewährt.

• # CVE-2022-22755: XSL könnte die Ausführung von JavaScript zugelassen haben, nachdem ein Tab geschlossen wurde
• Reporter: Jack Wrenn
• Auswirkung: mäßig
• Beschreibung: Durch die Verwendung von XSL-Transformationen hätte ein böswilliger Webserver einem Benutzer ein XSL-Dokument bereitstellen können, das JavaScript (innerhalb der Grenzen der Same-Origin-Richtlinie) auch nach dem Schließen der Registerkarte weiter ausführt. Verweise

• # CVE-2022-22756: Das Ziehen und Ablegen eines Bildes könnte dazu geführt haben, dass das abgelegte Objekt eine ausführbare Datei war
• Reporter: Abdulrahman Alqabandi
• Auswirkung: mäßig
• Beschreibung: Wenn ein Benutzer dazu überredet wurde, ein Bild per Drag-and-Drop auf seinen Desktop oder einen anderen Ordner zu ziehen, hätte das resultierende Objekt in ein ausführbares Skript umgewandelt werden können, das beliebigen Code ausgeführt hätte, nachdem der Benutzer darauf geklickt hätte.

• # CVE-2022-22757: Remote Agent hat die Verbindung lokaler Websites nicht verhindert
• Reporter: James Graham
• Auswirkung: mäßig
• Beschreibung: Der in WebDriver verwendete Remote Agent hat die Host- oder Origin-Header nicht validiert. Dies hätte es Websites ermöglichen können, sich wieder lokal mit dem Browser des Benutzers zu verbinden, um ihn zu steuern. Dieser Fehler betraf Firefox nur, wenn WebDriver aktiviert war, was nicht die Standardkonfiguration ist.

• # CVE-2022-22758: tel: links könnten USSD-Codes an den Dialer von Firefox für Android gesendet haben
• Reporter: Kirtikumar Anandrao Ramchandani, Patrick Walker & Eric Lawrence
• Auswirkung: mäßig
• Beschreibung: Beim Klicken auf einen Tel: Link, USSD-Codes, angegeben nach a Zeichen, würde in der Telefonnummer enthalten sein. Auf bestimmten Telefonen oder bei bestimmten Netzbetreibern können, wenn die Nummer gewählt wird, Aktionen auf dem Konto eines Benutzers ausgeführt werden, ähnlich einem Cross-Site-Request-Forgery-Angriff. Dieser Fehler betrifft nur Firefox für Android. Andere Betriebssysteme sind nicht betroffen.*

• # CVE-2022-22759: Sandbox-iFrames könnten ein Skript ausgeführt haben, wenn die übergeordneten Elemente angehängt wurden
• Reporter: Johann Karlsson
• Auswirkung: mäßig
• Beschreibung: Wenn ein Dokument einen Sandbox-Iframe ohne allow-scripts, und anschließend ein Element an das Dokument des Iframes angehängt, das z. B. einen JavaScript-Event-Handler hatte - der Event-Handler wäre trotz der Sandbox des Iframes ausgeführt worden.

• # CVE-2022-22760: Cross-Origin-Antworten konnten zwischen Skript- und Nicht-Skript-Inhaltstypen unterschieden werden
• Reporter: Luan Herrera
• Auswirkung: mäßig
• Beschreibung: Beim Importieren von Ressourcen mit Web Workers würden Fehlermeldungen den Unterschied zwischen unterscheiden application/javascriptAntworten und Nicht-Skript-Antworten. Dies könnte missbraucht worden sein, um Informationen ursprungsübergreifend zu erfahren.

• # CVE-2022-22761: Frame-ancestors Content Security Policy-Richtlinie wurde für gerahmte Erweiterungsseiten nicht erzwungen
• Reporter: Mart Gil Robles (Mart bei FlowCrypt)
• Auswirkung: mäßig
• Beschreibung: Über das Internet zugängliche Erweiterungsseiten (Seiten mit dem Schema moz-extension://) setzten die frame-ancestors-Direktive nicht korrekt durch, wenn sie in der Inhaltssicherheitsrichtlinie der Weberweiterung verwendet wurde.

• # CVE-2022-22762: JavaScript-Dialoge könnten in Firefox für Android über anderen Domains angezeigt worden sein
• Reporter: James Lee
• Auswirkung: niedrig
• Beschreibung: Unter bestimmten Umständen könnte eine JavaScript-Warnung (oder Aufforderung) angezeigt worden sein, während eine andere Website darunter angezeigt wurde. Dies könnte missbraucht worden sein, um den Benutzer auszutricksen. Dieser Fehler betrifft nur Firefox für Android. Andere Betriebssysteme sind nicht betroffen.

• # CVE-2022-22764: Speichersicherheitsfehler in Firefox 97 und Firefox ESR 91.6 behoben
• Reporter: Mozilla-Entwickler und -Community
• Auswirkung: hoch
• Beschreibung: Die Mozilla-Entwickler Paul Adenot und das Mozilla Fuzzing Team berichteten von Speichersicherheitsfehlern in Firefox 96 und Firefox ESR 91.5. Einige dieser Fehler zeigten Hinweise auf Speicherbeschädigungen und wir nehmen an, dass einige davon mit genügend Aufwand hätten ausgenutzt werden können, um beliebigen Code auszuführen.

• # CVE-2022-0511: Speichersicherheitsfehler in Firefox 97 behoben
• Reporter: Mozilla-Entwickler und -Community
• Auswirkung: hoch
• Beschreibung: Die Mozilla-Entwickler und Community-Mitglieder Gabriele Svelto, Sebastian Hengst, Randell Jesup, Luan Herrera, Lars T. Hansen und das Mozilla Fuzzing Team berichteten von Speichersicherheitsfehlern in Firefox 96. Einige dieser Fehler zeigten Hinweise auf Speicherbeschädigungen, und wir gehen davon aus, dass dies ausreichend ist Einige davon hätten ausgenutzt werden können, um beliebigen Code auszuführen.

Daher ist auch davon auszugehen, dass alle älteren Firefox Browser für den Angreifer benutzbar sind, um erfolgreich eine Attacke durchzuführen.

Standardmäßig wird sich Firefox selbst automatisch aktualisieren, aber die Nutzer können jederzeit eine Aktualisierung manuell anstoßen. Bei manuellen Aktualisierungen lädt Firefox zwar das jeweilige Update herunter, es wird jedoch erst bei einem Neustart von Firefox installiert und ausgeführt.

Falls entgegen der Empfehlung, Betriebssysteme nicht mehr zu nutzen, die herstellerseitig nicht mehr unterstützt werden, aus individuellen Gründen noch Windows-Versionen wie XP und Server 2003 eingesetzt werden, sollten die Updates manuell heruntergeladen und installiert werden.

Neue Testergebnisse beim Virenschutz: Gratis Windows Defender ist wiederholt Gut im Test

Neue Testergebnisse beim Virenschutz --Screenshot: AV Test

So stehen mittlerweile laut den Testern immer mehr private Windows-PCs im Fokus der Angreifer. Schließlich finden sich darauf zum Beispiel wertvolle Spiele-Accounts, Zugänge zum Online-Banking oder volle Mail-Adressbücher zur Weiterverbreitung. Sehr beliebt ist die komplette Versklavung eines PCs als Teil eines Botnets. Darin darf der PC dann als Angriffsdrohne oder Bitcoin-Schürfer dienen.

Die besten Ergebnisse erzielten die drei Security-Suiten mit der Bestpunktzahl von 18. Dieses sind F-Secure, McAfee, und Symantec. Mit 17,5 Punkten folgen Avast, Avira, Kaspersky Lab und VIPRE Security.

Gratis Windows Defender ist "Gut" laut Stiftung Warentest

Im März hatte bei Stiftung Warentest schon ein Test von Anti-Viren-Lösungen stattgefunden Dabei haben bei den Testern 11 Programme im Test mit "sehr gut" abgeschnitten, drei davon waren sogar kostenlos. Der vorinstallierte Microsoftschutz hat aufgeholt. Der einzige Schwachpunkt ist der dabei allerdings der Phishing-Schutz. Dabei haben laut den Testern kostenlose Antiviren-Programme zum Teil weniger Funktionen als die Vollversionen, ihre Schutzwirkung ist aber vergleichbar.

Microsoft Defender hat sich verbessert

Bei den neuen Test war die größte Überraschung der Microsoft Defender. Dabei ist der Windows-Defender auf Rechnern mit dem Betriebssystem Windows 10 vorinstalliert. Dabei hat die Sicherheit im Vergleich zum Vorjahr deutlich aufgeholt.

So erkennt das Microsoft Produkt Defender Bedrohungen ebenso schnell wie die sehr guten Konkurrenzprodukte. Es gibt nur keinen Schutz vor Phishing. Dabei geht es um den Versuch, über bösartige Webseiten und E-Mail-Links Zugangsdaten argloser Nutzer abzugreifen.

Während Microsoft beim Schutz aufgeholt hat, verzichtet Apple immer noch auf jede Schutzfunktion. Das Betriebssystem MacOS ist weniger gefährdet, es gibt kaum Angriffszenarien. Allerdings gibt es schon 20 Schadprogramme laut den Testern, die MacOS angreifen können. Denen sind Apple-Nutzer ohne Sicherheits-Software bislang schutzlos ausgeliefert.

Sollten Sie nun die Sicherheit bei ihrem Smartphones und PCs verbessern wollen, erhalten bei uns auch eine grosse Übersicht an Anti-Viren Programme, sowie die Software von den Anbietern Bitdefender, AVG und die Software von Kaspersky.

Damit Ihnen in Zukunft keine aktuellen News und Spar-Angebote entgehen, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller informiert sind Sie aber via Twitter und Facebook informiert.

---

Verwandte Nachrichten:

Passwort Tag: Jeder 10.Haushalt mit Standartpasswort 01.02.24 An jedem 1.Februar des Jahres, seit dem Jahr 2012, gibt es den "Ändere dein Passwort"-Tag. Wenn es um die Sicherheit der eigenen Daten geht, sollte man schon ein Passwort nehmen, welches schwer bis gar nicht zu knacken ist. So sichern 97 Prozent ihr WLAN Heimnetzwerk mit einem Passwort, nutzen dafür aber weit überwiegend das voreingestellte Passwort des Herstellers. ... Darknet-Marktplätze: 1,5 Milliarden US-Dollar Umsatz im Jahr 2022 10.02.23 Wenn es um Drogenhandel, illegale Machenschaften und Betrug geht, dann ist das Darknet immer noch eine milliardenschwere Umsatzmaschine. Dieses geht aus den Analyse Daten von chainalysis.com hervor. Wer gehofft hatte FBI, ... E-Mail Client Thunderbird: Thunderbird bald auch für mobile Geräte verfügbar 09.05.22 Der beliebte, freie E-Mail Client Thunderbird soll eine mobile App Version unter Android bekommen. Das bestätigte der Produktmanager Ryan Lee Sipes, Product and Business Development Manager für Mozilla Thunderbird, auf Twitter. ... Passwort Check beim Bayerischen Staatsministerium --Informatiker warnen vor Weitergabe von Passwörtern 24.02.22 An jedem 1.Februar des Jahres, seit dem Jahr 2012, gibt es den "Ändere dein Passwort"-Tag. Wenn es um die Sicherheit der eigenen Daten geht, sollte man schon ein Passwort nehmen, welches schwer bis gar nicht zu knacken ist. ... Passwort Check beim Bayerischen Staatsministerium --Informatiker warnen vor Weitergabe von Passwörtern 24.02.22 An jedem 1.Februar des Jahres, seit dem Jahr 2012, gibt es den "Ändere dein Passwort"-Tag. Wenn es um die Sicherheit der eigenen Daten geht, sollte man schon ein Passwort nehmen, welches schwer bis gar nicht zu knacken ist. ... Passwort Statistik: Passwort 123456 ist das beliebteste Passwort in Deutschland 20.12.21 An jedem 1.Februar des Jahres, seit dem Jahr 2012, gibt es den "Ändere dein Passwort"-Tag. Wenn es um die Sicherheit der eigenen Daten geht, sollte man schon ein Passwort nehmen, welches schwer bis gar nicht zu knacken ist. ... Linkedin Daten-Leak: 700 Millionen Nutzer Daten werden zum Kauf angeboten 01.07.21 Nachdem im April diesen Jahres 533 Millionen Facebook-Nutzerdaten im Internet entdeckt worden sind, geht es nun mit Linkedin weiter. So gibt es Berichte von 700 Millionen Nutzerkonten, welche durch einen Datendiebstahl bei Linkedin betroffen sind. ... Windows 11 Update: Windows 11 kann Android-Apps ausführen 28.06.21 Mit der neuen Windows 11 Version wird es auch erfreuliche Nachrichten für Android Smartphone Nutzer geben. So kann man mit der neuen Windows Version entsprechende Android Apps auf auf dem Windows 11 System ... Facebook Hack: Facebook will betroffene Nutzer nicht informieren 09.04.21 Nachdem am Wochenende 533 Millionen Facebook-Nutzerdaten im Internet entdeckt worden sind, handeln die irische Datenschützer und untersucht den Facebook-Leak. Bisher hat Facebook sich nicht bei den Nutzern gemeldet. Dieses will man nun in einer aktuellen Facebook-Stellungnahme auch nicht machen. Erst gestern ist bekannt geworden, dass Facebook das Datenleck auch gar nicht den Behörden gemeldet hat, was in der Regel ein hohes Bussgeld gemessen an dem Umsatz nach sich zieht. ...

Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten