Firefox 117.0: Mozilla schließt mehrere Sicherheitslücken

Mozilla hat Version 117 des Webbrowsers Firefox veröffentlicht und mit dieser mehrere Schwachstellen behoben, von denen einige als gefährlich eingestuft werden. Auch in den Langzeitversionen Firefox ESR 115.2 und Firefox ESR 102.15 hat das Entwicklerteam Sicherheitslücken gefunden und behoben.

Die Korrekturen beheben vor allem Use-After-Free-Lücken in verschiedenen Modulen aller drei genannten Veröffentlichungszweigen, darunter dem CanvasTranslator (CVE-2023-4573), dem ColorPickerShownCallback (CVE-2023-4574) und dem FilePickerShownCallback (CVE-2023-4575). Use-After-Free (UAF) beschreibt eine Schwachstelle im Zusammenhang mit einer fehlerhaften Nutzung von dynamischem Speicher während der Programmausführung. Wird nach dem Beenden des Programms und der damit einhergehenden Freigabe des Speicherplatzes nicht auch der auf ihn zeigende Pointer gelöscht, können Angreifer über präparierte Websites unter Umständen Zugriff auf das System erhalten und Schadcode ausführen. Weitere Lücken betreffen einen Integer-Überlauf, der im Modul RecordedSourceSurfaceCreation (CVE-2023-4576) erzeugt werden kann, über den sensible Daten abgegriffen werden können sowie UpdateRegExpStatics (CVE-2023-4577).

Gleichzeitig behoben die Entwickler vier als mittelschweres (CVE-2023-4578, CVE-2023-4579, CVE-2023-4580 und CVE-2023-4581) und zwei als leichtes Risiko eingestufte Schwachstellen (CVE-2023-4582, CVE-2023-4583). Eine weitere gefundene Sicherheitslücke (CVE-2023-4584) betrifft neben Firefox 116 auch die ESR-Versionen 102.14 und 115.1, CVE-2023-4584 dagegen nur Firefox 116 und ESR 115.1. Beide sollen mit einem hohen Bedrohungsrisiko verbunden sein.

Die Aktualisierung kann wahlweise in den Einstellungen angestoßen werden oder über eine manuelle Installation erfolgen. Für Letzteres muss lediglich die jeweilige Version über den Link am Ende des Artikels aus dem ComputerBase-Archiv geladen werden.