Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. Weiter acht Schwachstellen tragen zwar den Hinweis „moderat“, werden aber beim Update auch geschlossen.
In der Auflistung der Schwachstellen werden zwei in Sachen Gefahr als „Hoch“ eingestuft. Danach kommt nur noch Kritisch als höchste Stufe. Es wird dringend empfohlen, die aktuellen Versionen von Firefox und Thunderbird zu installieren, um diese Sicherheitslücken zu schließen
Zwei hochgefährliche Schwachstellen
CVE-2025-0244: Adressleisten-Spoofing durch ungültiges Protokollschema in Firefox für Android
Ein Angreifer konnte durch Weiterleitung zu einem ungültigen Protokollschema die Adressleiste manipulieren, sodass eine falsche URL angezeigt wurde. Dies konnte Phishing-Angriffe erleichtern, da Nutzer glaubten, sich auf einer vertrauenswürdigen Website zu befinden. Diese Schwachstelle betraf ausschließlich Android-Geräte; andere Betriebssysteme waren nicht betroffen.
CVE-2025-0242: Speicherverwaltungsfehler in Firefox und Thunderbird
In den Versionen Firefox 133, Thunderbird 133, Firefox ESR 115.18 und 128.5 wurden Speicherverwaltungsfehler entdeckt, die zu Speicherbeschädigungen führen konnten. Mit erheblichem Aufwand hätten Angreifer diese Schwachstellen möglicherweise ausnutzen können, um beliebigen Code auszuführen. Es wird daher empfohlen, auf die Versionen Firefox 134, Firefox ESR 115.19 oder 128.6 zu aktualisieren, um diese Sicherheitslücken zu schließen.
Weiter „Moderate“ Schwachstellen
- CVE-2025-0237: Die WebChannel-API überprüfte nicht den sendenden Principal, sondern akzeptierte den übermittelten Principal, was zu Privilegieneskalationsangriffen führen konnte.
- CVE-2025-0238: Ein kontrollierter Speicherzuweisungsfehler konnte zu einem Use-after-free führen, was potenziell ausnutzbare Abstürze verursachte.
- CVE-2025-0239: Bei Verwendung von Alt-Svc validierte ALPN Zertifikate nicht ordnungsgemäß, wenn der ursprüngliche Server zu einer unsicheren Seite umleitete.
- CVE-2025-0240: Das Parsen eines JavaScript-Moduls als JSON konnte unter bestimmten Umständen zu einem Cross-Compartment-Zugriff führen, was möglicherweise einen Use-after-free zur Folge hatte.
- CVE-2025-0241: Die Segmentierung speziell gestalteter Texte konnte zu Speicherbeschädigungen führen, was potenziell ausnutzbare Abstürze verursachte.
- CVE-2025-0243: Speichersicherheitsfehler in Firefox 133, Thunderbird 133, Firefox ESR 128.5 und Thunderbird 128.5, die möglicherweise zur Ausführung von Schadcode hätten führen können.
- CVE-2025-0245: Unter bestimmten Umständen konnte eine Benutzereinstellung in Firefox Focus für Android, die eine Authentifizierung vor der Nutzung erfordert, umgangen werden.
- CVE-2025-0246: Bei Verwendung eines ungültigen Protokollschemas konnte ein Angreifer die Adressleiste manipulieren. Dieses Problem betraf nur Android-Betriebssysteme.