Am 23. Februar 2021 wurde die Veröffentlichung von Firefox 86 bekannt gegeben, die eine Reihe von kritischen Sicherheitslücken schließt. Diese Aktualisierung adressiert Probleme mit hoher und moderater Auswirkung, die potenziell missbraucht werden könnten, um sensible Informationen preiszugeben oder Code auszuführen. Die Sicherheit und Privatsphäre der Nutzer stehen bei der Entwicklung von Firefox an erster Stelle, und diese Patches sind ein wichtiger Schritt, um die Integrität des Browsers zu gewährleisten.
Behebung von Content Security Policy (CSP)-Schwachstellen
Mehrere gemeldete Schwachstellen betrafen die Implementierung der Content Security Policy (CSP) in Firefox. CSP ist ein Sicherheitsmechanismus, der Webseitenbetreibern hilft, bestimmte Arten von Angriffen, wie z. B. Cross-Site Scripting (XSS), zu erkennen und zu entschärfen.
CVE-2021-23969 und CVE-2021-23968: Fehlerhafte Weiterleitungsberichte
Zwei ähnliche Schwachstellen, CVE-2021-23969 und CVE-2021-23968, betrafen die Berichterstattung über CSP-Verletzungen bei Weiterleitungen. Gemäß den CSP-Spezifikationen sollten User Agents sicherstellen, dass der Quell-URL des Verstoßes die ursprünglich angeforderte URL vor der Weiterleitung ist. Wenn dies nicht möglich ist, sollen die URLs auf einen Ursprung reduziert werden, um eine unbeabsichtigte Weitergabe von Informationen zu vermeiden. Unter bestimmten Umständen setzte Firefox fälschlicherweise das Ziel der Weiterleitung als Quell-URL im Verstoßbericht. Dies wurde behoben, indem nun der Ursprung des Weiterleitungsziels korrekt angegeben wird. Insbesondere wenn die CSP eine Frame-Navigation blockierte, konnte der vollständige Ziel-URI einer Weiterleitung gemeldet werden, anstatt des ursprünglichen Frame-URIs, was zu einer potenziellen Offenlegung sensibler Informationen führen konnte.
CVE-2021-23971: Überschreibung der Referrer-Policy
Ein weiteres Problem betraf die Referrer-Policy. Wenn eine Weiterleitung mit einer widersprüchlichen Referrer-Policy verarbeitet wurde, übernahm Firefox die Referrer-Policy der Weiterleitung. Dies konnte dazu führen, dass mehr Informationen als vom ursprünglichen Ursprung beabsichtigt an das Ziel der Weiterleitung gesendet wurden. Diese Schwachstelle, CVE-2021-23971, wurde als moderat eingestuft und in Firefox 86 behoben.
Schutz vor HTML-Sanitizer-Umgehung und Phishing
CVE-2021-23974: Umgehung des HTML-Sanitizers durch noscript-Elemente
Die DOMParser-API zeigte Schwächen bei der Verarbeitung von Elementen zur Eskapierung. Dies konnte als mXSS-Vektor genutzt werden, um den HTML-Sanitizer zu umgehen. Die Schwachstelle CVE-2021-23974 wurde mit moderater Auswirkung eingestuft und durch Korrekturen in Firefox 86 behoben.
CVE-2021-23972: Umgehung der HTTP-Auth-Phishing-Warnung
Eine spezifische Phishing-Taktik nutzt Links mit HTTP-Authentifizierung, z. B. https://www.phishingtarget.com@evil.com. Um diese Angriffe zu mitigieren, zeigt Firefox eine Warnmeldung an. Allerdings würde diese Warnung nicht angezeigt, wenn evil.com eine vom Browser zwischengespeicherte Weiterleitung verwendete. Dieses Problem (CVE-2021-23972) wurde als geringfügige Schwachstelle eingestuft und in Firefox 86 behoben.
Spezifische Probleme in Firefox für Android
Zwei Schwachstellen betrafen ausschließlich Firefox für Android.
CVE-2021-23976: Lokale Spoofing von Web-Manifesten
Firefox für Android war anfällig für lokales Spoofing von Web-Manifesten für beliebige Seiten. Durch die Annahme eines bösartigen Intents von anderen installierten Apps konnte Firefox Manifeste von beliebigen Dateipfaden annehmen und Web-App-Manifeste für andere Ursprünge deklarieren. Dies konnte für UI-Spoofing mit Vollbildzugriff genutzt werden und zu Cross-Origin-Angriffen auf Ziel-Websites führen. Diese Schwachstelle ist von CVE-2020-26954 zu unterscheiden und betraf nur die Android-Version.
CVE-2021-23977: Lesen sensibler Daten durch bösartige Anwendungen
Eine weitere Schwachstelle auf Android (CVE-2021-23977) war eine Time-of-Check-Time-of-Use (TOCTOU)-Schwachstelle, die es einer bösartigen Anwendung ermöglichte, sensible Daten aus den Anwendungsverzeichnissen von Firefox zu lesen. Auch diese Schwachstelle betraf nur Firefox für Android.
Weitere behobene Schwachstellen
CVE-2021-23975: Fehler in about:memory
Die Entwicklerseite about:memory dient zur Untersuchung der vom Browser allokierten Objekttypen und deren Größen. Beim Aufruf der Measure-Funktion wurde fälschlicherweise die sizeof-Funktion verwendet, anstatt der API-Methode zur Überprüfung ungültiger Zeiger. Dieser Fehler (CVE-2021-23975) wurde als geringfügig eingestuft.
CVE-2021-23973: Informationsleck durch MediaError
Beim Versuch, eine Cross-Origin-Ressource in einem Audio/Video-Kontext zu laden, konnte ein Dekodierungsfehler auftreten. Der Inhalt dieses Fehlers konnte Informationen über die Ressource preisgeben. Diese Schwachstelle (CVE-2021-23973) wurde als geringfügig bewertet.
Speicher-Sicherheitsfehler in Firefox 86 und ESR 78.8
Wie üblich wurden in Firefox 86 und Firefox ESR 78.8 auch mehrere Speicher-Sicherheitsfehler behoben. Diese Fehler, die von Mozilla-Entwicklern und Community-Mitgliedern gemeldet wurden, zeigten teilweise Anzeichen von Speicherbeschädigung. Es wird angenommen, dass einige dieser Fehler mit erheblichem Aufwand zur Ausführung von beliebigem Code hätten ausgenutzt werden können. Diese wurden unter den CVEs CVE-2021-23978 und CVE-2021-23979 zusammengefasst.
Die regelmäßige Aktualisierung Ihres Browsers ist entscheidend, um von diesen wichtigen Sicherheitsverbesserungen zu profitieren. Stellen Sie sicher, dass Sie immer die neueste Version von Firefox verwenden, um Ihre Online-Sicherheit zu maximieren.