Mozilla schließt kritische Lecks in Thunderbird 52.7 und Firefox

Die Mozilla Foundation veröffentlicht im Advisory 2018-09 Sicherheitsupdates für den quelloffenen Maildienst. Drei dieser Updates und damit das gesamte Update stuft die Foundation mit kritisch ein. Zwei werden mit hoch eingestuft und ein weiteres Leck gilt als moderate Sicherheitsbedrohung.

Die Entwickler erklären jedoch, dass diese Sicherheitslecks nicht via E-Mail in Thunderbird ausgenutzt werden können, weil hier das Scripting deaktiviert ist. Dennoch stellten diese Verwundbarkeiten ein potentielles Risiko in Browsern oder Browser-ähnlichen Umgebungen dar.

Mozilla will ein prominentes Leck im Master-Passwort-Manager mit der Erweiterung Lockbox beheben, die ist allerdings noch nicht für alle Versionen verfügbar (Bild: Mozilla Foundation).

Mit CVE-2018-5145 beheben die Entwickler der Mozilla-Foundation einen kritischen Memory-Safety-Bug in Firefox ESR und Thunderbird 52.7 sowie Thunderbird 52.6. Über dieses Leck sei es möglich, den Speicher zu korrumpieren und die Entwickler gehen davon aus, dass man bei erfolgreicher Ausnutzung dadurch beliebigen Code auf einem Angegriffenen System ausführen kann.

Gleiches gilt für CVE-2018-5125, bei dem in Firefox 58, Firefox ESR 52.6 und Thunderbird 52.6 ebenfalls befürchten, dass darüber beliebiger Code ausgeführt werden kann.

CVE-2018-5146 wurde laut von Trend Micro entdeckt und bei dem Pwn2Own-Wettbewerb veröffentlicht. Das kritische Leck erlaubt einen out of Bound Write beim Verarbeiten von Vorbis-Audiodateien.

Der Bufferoverflow CVE-2018-5127 ist mit ‚hoch‘ eingestuft. Er tritt beim Verarbeiten von von SVG- animatedPathSegLists auf. Der darauf folgende Systemabsturz könnte sich durch einen Hacker ausnutzen lassen.

CVE-2018-5129 dagegen entsteht durch eine fehlende Validierung der Paramater von IPC-Messages. Ein Angreifer könnte hier über manipulierte IPC-Nachrichten den Speicher überlisten und so die Sandbox umgehen.

Vor einigen Tagen wurde ein schwerwiegendes Sicherheitsleck in der „Master-Password“-Erweiterung bekannt. Weil dieses Master-Passwort, mit dem sich Nutzer in verschiedenen Diensten anmelden können, nur mit einem einzigen SHA-1-und nur einem zufälligen Salt-Wert geschützt ist, sei es dank moderner Grafikkarten sehr einfach möglich über eine Bruteforce-Attacke auch längere und komplexe Passwörter vergleichsweise schnell zu knacken. Um das zu verhindern, seien mindestens 100.000 Wiederholungen nötig, so Wladimir Palant, der Entwickler der Browser-Erweiterung AdBlock Plus.

Dieses Problem scheint schon seit Jahren bei Mozilla bekannt zu sein. Nun will die Foundation dieses Problem mit dem Projekt Lockbox abstellen, das ein deutlich höheres Sicherheitsniveau für den Master-Passwort-Manager bieten soll. Jedoch können lediglich Personen mit physischen Zugriff auf den Browser den Schutz umgehen und auf die in Firefox gespeicherten Anmeldeinformationen zugreifen. Daher ist auch die von dem Leck ausgehende Gefährdung eher mäßig.