Nachdem Google am Montag mit dem Update auf Chrome 116.0.5845.188 eine 0-Day-Lücke geschlossen hat, haben die meisten Browser-Hersteller nachgezogen. Mozilla hat Updates für Firefox und Thunderbird bereitgestellt. Brave, Microsoft (Edge), Vivaldi und Opera bieten ebenfalls abgesicherte Browser-Versionen an. In allen muss die gleiche Schwachstelle beseitigt werden. Unklar bleibt vorerst, ob es einen Zusammenhang mit den 0-Day-Lücken in Apple-Systemen gibt.
Sicherheitsforscher des Citizen Lab der Universität Toronto und bei Apple haben eine Sicherheitslücke (CVE-2023-4863) beim Umgang mit manipulierten WebP-Bilddateien entdeckt. Angreifern können mit präparierten WebP-Bildern in Web-Seiten oder Mails beliebigen Code einschleusen und ausführen. Laut Google wird die Schwachstelle bereits ausgenutzt. Google hat das WebP-Format entwickelt und offenbar nutzt auch Mozilla den anfälligen Code aus der quelloffenen Programmbibliothek libwebp in seiner Software.
▶Die neuesten Sicherheits-Updates
Mozilla hat daher Updates auf Firefox 117.0.1, Firefox ESR 115.2.1 und Firefox ESR 102.15.1 sowie auf Thunderbird 115.2.2 und 102.15.1 bereitgestellt. Mozilla stuft die Lücke als kritisch ein und weist in seinem Sicherheitsbericht darauf hin, dass die Schwachstelle „in anderen Produkten“ ausgenutzt würde.
Update 15. September
Für den Tor Browser ist ein Update auf die neue Version 12.5.4 erhältlich. Sie basiert auf Firefox ESR 102.15.1 und ist damit ebenfalls abgesichert. Die Entwickler haben zudem OpenSSL auf die Version 1.1.1w aktualisiert, um eine Sicherheitslücke (CVE-2023-4807) zu beheben. Update Ende
Die Hersteller anderer auf Chromium basierender Browser (Brave, Microsoft, Opera, Vivaldi) haben ebenfalls reagiert und bieten Sicherheits-Updates an. Nutzen Sie die integrierten Update-Funktionen der Browser.
Gibt es einen Zusammenhang mit der Spyware Pegasus?
Bereits am 7. September hatte Apple erste Sicherheits-Updates für iOS 16 sowie macOS Ventura veröffentlicht, gefolgt von Updates für ältere Versionen der Systeme am 11. September. Grund ist ein Befund des Citizen Lab der Universität Toronto, laut dem unbekannte Akteure die berüchtigte Spyware Pegasus der NSO Group heimlich auf iPhones installiert haben sollen. Sie hätten dazu eine 0-Day-Lücke (CVE-2023-41064) in Apples ImageIO-Komponente ausgenutzt. Dieser so genannte „Blastpass“-Exploit soll ebenfalls mit präparierten Bilddateien funktionieren. Ob es einen direkten Zusammenhang zwischen der Apple-Lücke und den Browser-Lücken in Chrome, Firefox & Co gibt, ist noch unklar.
Betroffene Software in der Übersicht:
| Software | abgesicherte Version | Chromium-Version |
|---|---|---|
| Chrome 117 | 117.0.5938.63 | 117.0.5938.63 |
| Chrome 116 | 116.0.5845.188 | 116.0.5845.188 |
| Brave 1.57 | 1.57.64 | 116.0.5845.188 |
| Brave 1.58 | 1.58.124 | 117.0.5938.62 |
| Microsoft Edge | 116.0.1938.81 | 116.0.5845.188 |
| Opera | 102.0.4880.51 | 116.0.5845.188 |
| Vivaldi | 6.2.3105.48 | 116.0.5845.195 |
| Firefox | 117.0.1 | – |
| Firefox ESR | 115.2.1 | – |
| Firefox ESR | 102.15.1 | – |
| Thunderbird | 115.2.2 | – |
| Thunderbird | 102.15.1 | – |
| Tor Browser | 12.5.4 | – |
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.