Categories: BrowserWorkspace

Mozilla schließt kritische Lecks in Thunderbird 52.7 und Firefox

Die Mozilla Foundation veröffentlicht im Advisory 2018-09 Sicherheitsupdates für den quelloffenen Maildienst. Drei dieser Updates und damit das gesamte Update stuft die Foundation mit kritisch ein. Zwei werden mit hoch eingestuft und ein weiteres Leck gilt als moderate Sicherheitsbedrohung.

Die Entwickler erklären jedoch, dass diese Sicherheitslecks nicht via E-Mail in Thunderbird ausgenutzt werden können, weil hier das Scripting deaktiviert ist. Dennoch stellten diese Verwundbarkeiten ein potentielles Risiko in Browsern oder Browser-ähnlichen Umgebungen dar.

Mozilla will ein prominentes Leck im Master-Passwort-Manager mit der Erweiterung Lockbox beheben, die ist allerdings noch nicht für alle Versionen verfügbar (Bild: Mozilla Foundation).

Mit CVE-2018-5145 beheben die Entwickler der Mozilla-Foundation einen kritischen Memory-Safety-Bug in Firefox ESR und Thunderbird 52.7 sowie Thunderbird 52.6. Über dieses Leck sei es möglich, den Speicher zu korrumpieren und die Entwickler gehen davon aus, dass man bei erfolgreicher Ausnutzung dadurch beliebigen Code auf einem Angegriffenen System ausführen kann.

Gleiches gilt für CVE-2018-5125, bei dem in Firefox 58, Firefox ESR 52.6 und Thunderbird 52.6 ebenfalls befürchten, dass darüber beliebiger Code ausgeführt werden kann.

CVE-2018-5146 wurde laut von Trend Micro entdeckt und bei dem Pwn2Own-Wettbewerb veröffentlicht. Das kritische Leck erlaubt einen out of Bound Write beim Verarbeiten von Vorbis-Audiodateien.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Der Bufferoverflow CVE-2018-5127 ist mit ‚hoch‘ eingestuft. Er tritt beim Verarbeiten von von SVG- animatedPathSegLists auf. Der darauf folgende Systemabsturz könnte sich durch einen Hacker ausnutzen lassen.

CVE-2018-5129 dagegen entsteht durch eine fehlende Validierung der Paramater von IPC-Messages. Ein Angreifer könnte hier über manipulierte IPC-Nachrichten den Speicher überlisten und so die Sandbox umgehen.

Vor einigen Tagen wurde ein schwerwiegendes Sicherheitsleck in der „Master-Password“-Erweiterung bekannt. Weil dieses Master-Passwort, mit dem sich Nutzer in verschiedenen Diensten anmelden können, nur mit einem einzigen SHA-1-und nur einem zufälligen Salt-Wert geschützt ist, sei es dank moderner Grafikkarten sehr einfach möglich über eine Bruteforce-Attacke auch längere und komplexe Passwörter vergleichsweise schnell zu knacken. Um das zu verhindern, seien mindestens 100.000 Wiederholungen nötig, so Wladimir Palant, der Entwickler der Browser-Erweiterung AdBlock Plus.

Dieses Problem scheint schon seit Jahren bei Mozilla bekannt zu sein. Nun will die Foundation dieses Problem mit dem Projekt Lockbox abstellen, das ein deutlich höheres Sicherheitsniveau für den Master-Passwort-Manager bieten soll. Jedoch können lediglich Personen mit physischen Zugriff auf den Browser den Schutz umgehen und auf die in Firefox gespeicherten Anmeldeinformationen zugreifen. Daher ist auch die von dem Leck ausgehende Gefährdung eher mäßig.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Martin Schindler

Recent Posts

Vier von fünf Deutschen sind auch im Urlaub online

Für berufliche Belange steht die Hälfte der Berufstätigen jedoch nicht zur Verfügung. Allerdings sind 15…

39 Minuten ago

Cyberkriminelle nutzen Youtube-Streamjacking rund um das Trump-Attentat

Vermeintliche Video-Deepfake-Kommentare von Elon Musk locken auf kriminelle Seiten zur angeblichen Bitcoin-Verdopplung.

7 Stunden ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript-Engine V8. Angreifbar sind Chrome für Windows, macOS und…

1 Tag ago

VMware-Alternativen: Diese Möglichkeiten bieten andere Anbieter, Open Source und die Cloud

Die Übernahme von VMware durch Broadcom schlägt in der IT-Welt hohe Wellen. Die Produkt- und…

1 Tag ago

Checkpoint: Microsoft überarbeitet kumulative Updates für Windows 11

Mit Windows 11 Version 24H2 setzt Microsoft auf kleinere kumulative Update-Pakete. Dafür erhält Windows zwischen…

1 Tag ago

Smartphoneverkäufe steigen um 6,5 Prozent im zweiten Quartal

Samsung und Apple wachsen langsamer als die Konkurrenz aus China. IDC rechnet mit weiteren Wachstumsimpulsen…

2 Tagen ago