Bereits zwei Tage nach dem Update auf Firefox 67.0.3 schließt Mozilla mit dem Update auf Firefox 67.0.4 eine weitere Sicherheitslücke. Sie gilt jedoch weder als kritisch noch sind Angriffe bekannt, die auf diese Lücke zielen würden. Immerhin könnte jedoch ein Angreifer diese Schwachstelle (CVE-2019-11708) ausnutzen, um aus der Browser-Sandbox auszubrechen. Kombiniert er sie mit Exploits für weitere Lücken, könnte er auf dem Rechner eingeschleusten Code ausführen. Auch diese Sandbox-Schwachstelle ist durch Coinbase Security entdeckt worden. Diese Sicherheitslücke betrifft auch Firefox ESR. Mozilla hat deshalb ein Update auf die Version 60.7.2 bereitgestellt, um die Lücke zu schließen. Für den auf Firefox ESR basierenden Tor Browser ist inzwischen zwar ein Update auf Version 8.5.2 erhältlich, das beseitigt jedoch nur die mit Firefox ESR 60.7.1 geschlossene Array.pop-Lücke. Gegen die neue Sandbox-Schwachstelle ist bislang noch kein Update verfügbar. Es dürfte jedoch bald folgen. Mit dem Update auf Thunderbird 60.7.2 schließt Mozilla gleich beide Lücken in seinem Mail-Programm. Die Array.pop-Lücke ist für Thunderbird weniger problematisch als für Firefox. Sie steckt in Javascript und das ist in Thunderbird normalerweise deaktiviert, wenn man Mails öffnet.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.