Die Entwickler von Chrome, Firefox und Thunderbird haben in der Nacht zum Mittwoch Aktualisierungen veröffentlicht, die teils kritische Sicherheitslücken in den Programmen schließen. Nutzerinnen und Nutzer sollten sicherstellen, dass sie die aktualisierte Fassung einsetzen.
Besonders gravierend ist eine Sicherheitslücke in allen unterstützten Firefox- und Thunderbird-Versionen. Eine doppelte Freigabe von Ressourcen (double free) im libvpx-Encoder in der Funktion vpx_codec_enc_init_multi nach einer fehlerhaften Allokation bei der Initialisierung des Encoders für WebRTC kann zu Speicherkorruption und einem möglicherweise missbrauchbaren Absturz führen. Die Schwachstelle stufen die Mozilla-Entwickler sogar als "kritisch" ein, wie sie etwa in der Sicherheitsmitteilung zu Firefox 139 schreiben.
Sie haben sogar zunächst einen eigenen CVE-Schwachstelleneintrag dafür angelegt (CVE-2025-5262), diesen jedoch wieder zurückgezogen, da eine andere CVE Numbering Authority (CNA) als Mozilla dafür zuständig sei. Die CISA hatte bereits eine CVSS-Berechnung vorgeschlagen und kam auf einen CVSS-Score von 7.5, was abweichend der Mozilla-Einstufung das Risiko "hoch" bedeutet. Sofern die zuständige CNA einen CVE-Eintrag erstellt hat, wollen die Mozilla-Entwickler den referenzieren.
Die Schwachstelle schließen die nun neu verfügbaren Versionen Firefox 139, Firefox ESR 128.11, Firefox ESR 115.24 und auch das Mailprogramm Thunderbird 139 und 128.11. Wer die einsetzt, sollte zügig den Versionsdialog der Software aufrufen, der in der Regel im Einstellungsmenü über das Symbol rechts oben neben der Adressleiste und dort schließlich unter "Hilfe" – "Über <Programmname>" zu finden ist. Der zeigt die aktuelle Version und bietet gegebenenfalls die Aktualisierung an.
Google hat zudem aktualisierte Fassungen des Chrome-Webbrowsers veröffentlicht. Sie schließen insgesamt acht Sicherheitslücken, von denen die Programmierer zwei als hohes Risiko, fünf als mittleres und eine als niedrigen Bedrohungsgrad eingestuft haben. Die hochriskanten Lücken umfassen etwa Zugriffe auf bereits freigegebene Ressourcen (use after free) im Compositing, was Angreifer oftmals zum Einschleusen von Schadcode missbrauchen können. Außerdem kann ein Schreibzugriff außerhalb vorgesehener Speichergrenzen in der Javascript-Engine V8 einen ähnlichen Effekt haben.
Wer Chrome nutzt, sollte daher prüfen, dass die Version bereits auf Stand 137.0.7151.51 für iOS, 137.0.7151.55 für Linux und 137.0.7151.55/56 für macOS und Windows steht.
Vor zwei Wochen hatten Googles Entwickler eine Sicherheitslücke in Chrome gestopft, für die bereits ein Exploit im Netz kursierte.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare