Mozilla schließt kritische Lecks in Thunderbird 52.7 und Firefox

Ein Leck im Master-Passwort-Manager bleibt nach wie vor offen. Dagegen werden verschiedene Memory-Saftey-Bugs sowie ein Memory Write in libvorbis behoben.

Die Mozilla Foundation veröffentlicht im Advisory 2018-09 Sicherheitsupdates für den quelloffenen Maildienst. Drei dieser Updates und damit das gesamte Update stuft die Foundation mit kritisch ein. Zwei werden mit hoch eingestuft und ein weiteres Leck gilt als moderate Sicherheitsbedrohung.

Die Entwickler erklären jedoch, dass diese Sicherheitslecks nicht via E-Mail in Thunderbird ausgenutzt werden können, weil hier das Scripting deaktiviert ist. Dennoch stellten diese Verwundbarkeiten ein potentielles Risiko in Browsern oder Browser-ähnlichen Umgebungen dar.

Mozilla will ein prominentes Leck im Master-Passwort-Manager mit der Erweiterung Lockbox beheben, die ist allerdings noch nicht für alle Versionen verfügbar (Bild: Mozilla Foundation). Mozilla will ein prominentes Leck im Master-Passwort-Manager mit der Erweiterung Lockbox beheben, die ist allerdings noch nicht für alle Versionen verfügbar (Bild: Mozilla Foundation).

Mit CVE-2018-5145 beheben die Entwickler der Mozilla-Foundation einen kritischen Memory-Safety-Bug in Firefox ESR und Thunderbird 52.7 sowie Thunderbird 52.6. Über dieses Leck sei es möglich, den Speicher zu korrumpieren und die Entwickler gehen davon aus, dass man bei erfolgreicher Ausnutzung dadurch beliebigen Code auf einem Angegriffenen System ausführen kann.

Gleiches gilt für CVE-2018-5125, bei dem in Firefox 58, Firefox ESR 52.6 und Thunderbird 52.6 ebenfalls befürchten, dass darüber beliebiger Code ausgeführt werden kann.

CVE-2018-5146 wurde laut von Trend Micro entdeckt und bei dem Pwn2Own-Wettbewerb veröffentlicht. Das kritische Leck erlaubt einen out of Bound Write beim Verarbeiten von Vorbis-Audiodateien.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Der Bufferoverflow CVE-2018-5127 ist mit ‚hoch‘ eingestuft. Er tritt beim Verarbeiten von von SVG- animatedPathSegLists auf. Der darauf folgende Systemabsturz könnte sich durch einen Hacker ausnutzen lassen.

CVE-2018-5129 dagegen entsteht durch eine fehlende Validierung der Paramater von IPC-Messages. Ein Angreifer könnte hier über manipulierte IPC-Nachrichten den Speicher überlisten und so die Sandbox umgehen.

Vor einigen Tagen wurde ein schwerwiegendes Sicherheitsleck in der „Master-Password“-Erweiterung bekannt. Weil dieses Master-Passwort, mit dem sich Nutzer in verschiedenen Diensten anmelden können, nur mit einem einzigen SHA-1-und nur einem zufälligen Salt-Wert geschützt ist, sei es dank moderner Grafikkarten sehr einfach möglich über eine Bruteforce-Attacke auch längere und komplexe Passwörter vergleichsweise schnell zu knacken. Um das zu verhindern, seien mindestens 100.000 Wiederholungen nötig, so Wladimir Palant, der Entwickler der Browser-Erweiterung AdBlock Plus.

Dieses Problem scheint schon seit Jahren bei Mozilla bekannt zu sein. Nun will die Foundation dieses Problem mit dem Projekt Lockbox abstellen, das ein deutlich höheres Sicherheitsniveau für den Master-Passwort-Manager bieten soll. Jedoch können lediglich Personen mit physischen Zugriff auf den Browser den Schutz umgehen und auf die in Firefox gespeicherten Anmeldeinformationen zugreifen. Daher ist auch die von dem Leck ausgehende Gefährdung eher mäßig.

Whitepaper

Die Vorteile der Zentralisierung von PC- und Mac-Management an einem Ort

Mac-Computer werden immer beliebter. IT-Abteilungen stehen vor der Aufgabe, diese Geräte zu verwalten und tun sich damit oft schwer. Welche Vorteile die Zentralisierung von PC- und Mac-Management an einem Ort bietet, erklärt dieses Whitepaper.

Themenseiten: Firefox, Mozilla Foundation, Thunderbird

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Mozilla schließt kritische Lecks in Thunderbird 52.7 und Firefox

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *