Nach den kürzlich erschienenen Notfallupdates, die aktiv angegriffene Schwachstellen in Firefox und Thunderbird schlossen, folgen heute Sicherheitsupdates im regulären Turnus. Die Mozilla-Stiftung stellt die fehlerbereinigten Versionen Firefox 98 sowie Firefox ESR 91.7 bereit, die Sicherheitslücken mit teils hohem Risiko schließen. Beide Browserversionen schließen vier Sicherheitslücken, deren Risiko die Mozilla-Entwickler als hoch einstufen. Durch Größenänderung eines Popup-Fensters nach einer Vollbildmodus-Anforderung zeigt das Popup die Vollbild-Benachrichtigung nicht an, was Browser-Fenster-Spoofing ermöglicht (CVE-2022-26383). Wenn ein Angreifer die Inhalte eines iframe kontrollieren kann, das mit den Optionen „Allow-Popups“ und „Not Allow-Scripts“ in einer Sandbox steckt, könnte dieser einen Link erstellen, der entgegen der Sandbox-Regel zur Ausführung von JavaScript führt (CVE-2022-26384). Beim Installieren eines Add-ons verifiziert Firefox dessen Signatur, bevor ein Benutzerdialog dazu gezeigt wird. Während ein Nutzer diesen Dialog bestätigt, hätte das darunterliegende Add-on jedoch verändert werden können, ohne dass Firefox dies bemerkt hätte (CVE-2022-26387). Weiterhin hätte ein Angreifer einen Use-after-free-Fehler provozieren können, indem er einen Textumfluss in einem SVG-Objekt erzwingt. Dies hätte in einen möglicherweise zu Schlimmerem ausnutzbaren Absturz münden können – sprich Ausführung von eingeschmuggelten Schadcode (CVE-2022-26381). Hier enden die beiden Browsern gemeinsam betreffenden Schwachstellen. Die Vorgängerversion von Firefox ESR 91.7 hat genau eine Hand voll Lückenvorzuweisen: Die fünfte Sicherheitslücke betraf nur die ESR-Fassung und bestand darin, dass Firefox unter Linux und macOS nicht in benutzerspezifische Temp-Verzeichnisse heruntergeladen hat, sondern in das systemweite /tmp. Dadurch hätten andere Nutzer darauf zugreifen können. Die Entwickler haben das ursprüngliche Verhalten wiederhergestellt, das in Benutzer-eigene Temp-Verzeichnisse speichert (CVE-2022-26386, Risiko niedrig). Lediglich in der Vorversion zu Firefox 98 waren drei weitere Sicherheitslücken mit mittlerem Risiko zu finden. Texte aus der Autofill-Funktion konnten durch speziell präparierte Zeichensätze bei einem Seitenkanal-Angriff ungewollt preisgegeben werden (CVE-2022-26382). Unter nicht näher erläuterten, ungewöhnlichen Umständen konnte ein Thread seinen Verwaltungsthread beim Herunterfahren überleben. Dies könnte zu einem Use-after-free-Fehler führen, der möglicherweise zum Ausführen von eingeschleusten Code führt (CVE-2022-26385). Die letzte Sicherheitslücke, die Firefox 98 laut Mozilla-Sicherheitsmeldung schließt, sind Speichersicherheitsfehler, die Angreifer möglicherweise ebenfalls zum Ausführen von eigenem Programmcode ausnutzen hätten können (CVE-2022-0843). Firefox-Nutzer und -Administratoren sollten nochmals überprüfen, ob sie bereits die aktuelle Version einsetzen. Dies gelingt in Windows und macOS durch Anklicken des Hamburger-Menüs (das Symbol mit den drei horizontalen Streifen rechts neben der Adresszeile), dort dann über „Hilfe“ auf „Über Firefox“ gehen. Entweder zeigt dies die aktuelle Version an oder startet das Herunterladen und die Installation davon. Linux-Nutzer erhalten üblicherweise mit den Distributions-eigenen Update-Werkzeugen die aktualisierte Version.