Angreifer könnten eigenen Code im Kontext von Thunderbird und Firefox ausführen

Angreifer könnten eigenen Code im Kontext von Thunderbird und Firefox ausführen

Angreifer könnten Firefox, Firefox ESR und Thunderbird in bestimmten Situationen attackieren und im schlimmsten Fall Schadcode ausführen. Klappt das, könnten sie Systeme mit hoher Wahrscheinlichkeit vollständig kompromittieren.

Bei den beiden Webbrowser kann es etwa zu Problemen beim Parsen (CVE-2022-40960 „hoch“) von nicht-UTF8-URLs kommen. In einem nicht näher beschriebenen Angriffsszenario könnte Schadcode auf Systeme gelangen (CVE-2022-40962 „hoch“).

Antworten Opfer auf eine präparierte HTML-Mail mit einem meta Tag, könnten Angreifer darüber Informationen ausschleusen. Aufgrund des Fehler (CVE-2022-3033 „hoch“) könnten sie JavaScript ausführen und darüber Nachrichten lesen oder sogar manipulieren. Nutzer, die die Anzeige des Nachrichtentextes auf simple html oder plain text eingestellt haben, sind von der Lücke nicht betroffen.

In den Versionen Firefox 105, Firefox ESR 102.3 und Thunderbird 91.13.1 und ab Thunderbird 102.2.1 haben die Entwickler die Schwachstellen geschlossen.

Mehr Informationen zu den Sicherheitslücken:

Update


10:59


Uhr

Weitere Informationen zu den Lücken eingebaut.

Siehe auch:

  • Firefox: Download schnell und sicher von heise.de
  • Thunderbird: Download schnell und sicher von heise.de


(des)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert