Angreifer können Systeme attackieren, auf denen Firefox oder Thunderbird installiert ist. Davon ist auch die iOS-Version von Firefox betroffen. Sicherheitsupdates schließen unter anderem Schadcode-Lücken.
Im Sicherheitsbereich der Mozilla-Website sind die jüngst geschlossenen Schwachstellen aufgelistet. Unklar bleibt, welche Betriebssysteme konkret betroffen sind. Gegen mögliche Attacken sind die folgenden Ausgaben abgesichert:
Firefox 142Firefox ESR 115.27Firefox ESR 128.14Firefox ESR 140.2Firefox für iOS 142Thunderbird 128.14Thunderbird140.2Thunderbird 142Angreifer können im Kontext der Audio/Video-GMP-Komponente auf einem nicht näher ausgeführten Weg einen Speicherfehler auslösen und so aus der Sandbox ausbrechen. Die Sicherheitslücke (CVE-2025-9179) ist mit dem Bedrohungsgrad "hoch" eingestuft. Sie betrifft Firefox und Thunderbird.
Darüber hinaus kann über weitere Speicherfehler (CVE-2025-9185 "hoch") Schadcode auf Systeme gelangen. Im Anschluss gelten Computer in der Regel als vollständig kompromittiert. Unter iOS sind unter anderem XSS-Attacken vorstellbar (CVE-2025-55032 "hoch").
Bislang gibt es noch keine Informationen über laufende Attacken. Unklar bleibt bislang auch, woran man bereits erfolgreich attackierte Systeme erkennen kann. Nutzer sollten sicherstellen, dass sie eine gegen die geschilderten Attacken abgesicherte Version installiert haben.
Zuletzt warnte Mozilla Anfang August vor Phishing-Attacken auf Add-on-Entwickler. Dabei wollten unbekannte Angreifer über gefälschte Mails Zugangsdaten von Entwicklern abgreifen. In welchem Ausmaß diese Kampagne ablief und Erfolg hatte, ist derzeit nicht bekannt.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo