Categories: BrowserWorkspace

Mozilla schließt kritische Lecks in Thunderbird 52.7 und Firefox

Die Mozilla Foundation veröffentlicht im Advisory 2018-09 Sicherheitsupdates für den quelloffenen Maildienst. Drei dieser Updates und damit das gesamte Update stuft die Foundation mit kritisch ein. Zwei werden mit hoch eingestuft und ein weiteres Leck gilt als moderate Sicherheitsbedrohung.

Die Entwickler erklären jedoch, dass diese Sicherheitslecks nicht via E-Mail in Thunderbird ausgenutzt werden können, weil hier das Scripting deaktiviert ist. Dennoch stellten diese Verwundbarkeiten ein potentielles Risiko in Browsern oder Browser-ähnlichen Umgebungen dar.

Mozilla will ein prominentes Leck im Master-Passwort-Manager mit der Erweiterung Lockbox beheben, die ist allerdings noch nicht für alle Versionen verfügbar (Bild: Mozilla Foundation).

Mit CVE-2018-5145 beheben die Entwickler der Mozilla-Foundation einen kritischen Memory-Safety-Bug in Firefox ESR und Thunderbird 52.7 sowie Thunderbird 52.6. Über dieses Leck sei es möglich, den Speicher zu korrumpieren und die Entwickler gehen davon aus, dass man bei erfolgreicher Ausnutzung dadurch beliebigen Code auf einem Angegriffenen System ausführen kann.

Gleiches gilt für CVE-2018-5125, bei dem in Firefox 58, Firefox ESR 52.6 und Thunderbird 52.6 ebenfalls befürchten, dass darüber beliebiger Code ausgeführt werden kann.

CVE-2018-5146 wurde laut von Trend Micro entdeckt und bei dem Pwn2Own-Wettbewerb veröffentlicht. Das kritische Leck erlaubt einen out of Bound Write beim Verarbeiten von Vorbis-Audiodateien.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Der Bufferoverflow CVE-2018-5127 ist mit ‚hoch‘ eingestuft. Er tritt beim Verarbeiten von von SVG- animatedPathSegLists auf. Der darauf folgende Systemabsturz könnte sich durch einen Hacker ausnutzen lassen.

CVE-2018-5129 dagegen entsteht durch eine fehlende Validierung der Paramater von IPC-Messages. Ein Angreifer könnte hier über manipulierte IPC-Nachrichten den Speicher überlisten und so die Sandbox umgehen.

Vor einigen Tagen wurde ein schwerwiegendes Sicherheitsleck in der „Master-Password“-Erweiterung bekannt. Weil dieses Master-Passwort, mit dem sich Nutzer in verschiedenen Diensten anmelden können, nur mit einem einzigen SHA-1-und nur einem zufälligen Salt-Wert geschützt ist, sei es dank moderner Grafikkarten sehr einfach möglich über eine Bruteforce-Attacke auch längere und komplexe Passwörter vergleichsweise schnell zu knacken. Um das zu verhindern, seien mindestens 100.000 Wiederholungen nötig, so Wladimir Palant, der Entwickler der Browser-Erweiterung AdBlock Plus.

Dieses Problem scheint schon seit Jahren bei Mozilla bekannt zu sein. Nun will die Foundation dieses Problem mit dem Projekt Lockbox abstellen, das ein deutlich höheres Sicherheitsniveau für den Master-Passwort-Manager bieten soll. Jedoch können lediglich Personen mit physischen Zugriff auf den Browser den Schutz umgehen und auf die in Firefox gespeicherten Anmeldeinformationen zugreifen. Daher ist auch die von dem Leck ausgehende Gefährdung eher mäßig.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Martin Schindler

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

2 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

2 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

2 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

2 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

2 Tagen ago