Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit "High"-Einstufung, die Cybergangster ausnutzen könnten.
Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.
Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.
Die betreffende Lücke CVE-2025-11756 ("High") steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.
Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.
Welcher Softwarestand derzeit aktiv ist, kann man über Chromes Browser-Menü herausfinden, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über "Hilfe" – "Über Google Chrome".
Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Die abgesicherte Android-Fassung ist via Google Play verfügbar.
Auch andere Webbrowser auf Chromium-Codebasis dürften verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.
Jeweils gleich mehrere Schwachstellen-Updates haben der freie Browser Firefox und dessen ESR (Extended Support Release)-Fassung sowie der E-Mail-Client Thunderbird erhalten.
Mozillas Übersichtsseite mit Sicherheitshinweisen nennt als abgesicherte Versionen den neuen Firefox 144 sowie die ESR-Versionen 140.4 und 115.29. Ebenfalls abgesichert sind Thunderbird 140.4 und natürlich auch die frische E-Mail-Client-Ausgabe 144 (siehe Release-Notes).
Wie gewohnt überschneiden sich einige der Security-relevanten Bugfixes in den Advisories der Mozilla-Software. Mehrere Lücken mit "High"-Einstufung hätten nach Einschätzung des Teams "mit ausreichend Aufwand" zum Ausführen beliebigen schädlichen Codes missbraucht werden können. Ebenfalls vertreten sind Schwachstellen, die zum Auslesen von Informationen oder für unbefugte schreibende Zugriffe etwa auf JavaScript-Objekte hätten ausgenutzt werden können.
Wer sich für neue Funktionen und Änderungen in Firefox 144 interessiert, findet auf der Ankündigungsseite nähere Informationen hierzu.
Aus Security-Perspektive interessant: Der integrierte Passwortmanager setzt zur Verschlüsselung künftig AES-256-CBC (statt zuvor 3DES-CBC) ein, um gespeicherte Daten besser zu schützen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare