Die Sicherheitsmeldung der Mozilla-Entwickler stellt keine genaueren Erklärungen zur Verfügung – lediglich die CVE-Nummern sowie eine grobe Beschreibung wurden bekanntgegeben. Durch sogenanntes „Use-after-free“ treten Fehler in beiden Schwachstellen auf.
Die Auswirkungen dieses Sicherheitslücken-Typs variieren allgemein von der Möglichkeit, Daten zu manipulieren, über den Absturz der Software bis hin zur Ausführung eingeschleusten Schadcodes. Schon das Öffnen einer manipulierten Website kann ausreichen, um einem Angriff ausgeliefert zu sein. Die eine Lücke kann unter Umständen auftreten, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu in einer Meldung dazu (CVE-2022-26485, CVSS >=9.0, kritisch). XSLT beschreibt Transformationen von XML-Dokumenten. Die zweite bereits aktiv ausgenutzte Lücke betrifft das WebGPU-IPC-Framework (CVE-2022-26486, CVSS >=9.0, kritisch). WebGPU ist eine Programmierschnittstelle, mit der Webseiten auf die System-GPU – sprich: die Grafikkarte – zugreifen können.
Die Schwachstellen dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (eine Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, im Englischen als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weiterreichende Details zu den Lücken werden durch die Mozilla-Stiftung nicht genannt.
Quelle: heise online Redaktion
Weiter Informationen zum Thema Verschlüsselung und Datenschutz finden Sie hier.
