Mozilla behebt kritische WebP-Sicherheitslücke in Firefox und Thunderbird

Mozilla hat Sicherheitsupdates für alle unterstützten Versionen seines Webbrowsers Firefox sowie für den E-Mail-Client Thunderbird veröffentlicht. Die Updates beheben eine kritische Sicherheitslücke in WebP, die bereits ausgenutzt wird.

Die Programme sind von der gleichen kritischen Sicherheitslücke betroffen wie Google Chrome und Chromium-basierte Browser. Google hat am selben Tag ein Sicherheitsupdate für Chrome veröffentlicht, um die Sicherheitslücke zu schließen.

Firefox-Nutzern wird empfohlen, ihren Browser umgehend auf die neue Version zu aktualisieren. WebP ist ein Bildformat, das im Internet weit verbreitet ist. Mozilla weist darauf hin, dass das Öffnen eines bösartigen WebP-Bildes "zu einem Pufferüberlauf im Inhaltsprozess" führen kann, der die Ausführung von Schadcode auf dem System des Benutzers ermöglicht.

Updates sind bereits verfügbar. Firefox-Benutzer können Menü > Hilfe > Über Firefox wählen, um die aktuelle Version anzuzeigen und das neueste Update zu erhalten. Thunderbird-Benutzer können Menü > Hilfe > Über Thunderbird wählen, um dasselbe zu tun. Die neuesten Versionen sind folgende, nachdem das Update installiert wurde:

  • Firefox 117.0.1 Stabil
  • Firefox 115.2.1 ESR
  • Firefox 102.15.1 ESR
  • Thunderbird 115.2.2
  • Thunderbird 102.15.1

Firefox 117.0.1 ist nicht nur ein Sicherheitsupdate, sondern behebt auch eine Reihe von Problemen in dem Open-Source-Webbrowser. Zwei Fehler im Zusammenhang mit dem Öffnen von Links werden in dieser Version behoben. Der erste führte dazu, dass die Option "Alle Tabs wieder öffnen" im Menü "Kürzlich geschlossene Tabs" manchmal nicht alle Tabs öffnete. Der zweite führte dazu, dass Links, die außerhalb von Firefox unter macOS aktiviert wurden, manchmal nicht in Firefox geöffnet wurden.

Ein weiterer Bugfix behebt ein Problem mit Erweiterungen. Manchmal wurden Erweiterungen beendet, obwohl sie noch ausgeführt wurden.

Mozilla hat vorübergehend eine Änderung rückgängig gemacht. Die Änderung verhindert, dass JavaScript das URL-Protokoll verändert. Mozilla plant, diese Änderung zu einem späteren Zeitpunkt zu implementieren.

Weitere Bugfixes betreffen ein Problem mit der Sichtbarkeit des Bookmark-Menüs, ein Problem mit der Zeitzonen-Erkennung auf einigen Webseiten und ein Problem mit Audio-Worklets, die auf Webseiten mit WebAssembly-Ausnahmebehandlung nicht funktionieren.

Die vollständigen Release Notes für Firefox 117.0.1 und das Security Advisory können hier eingesehen werden.

Es ist davon auszugehen, dass auch alle anderen Browser, die das Bildformat unterstützen, von der WebP-Sicherheitslücke betroffen sind. Die meisten haben oder werden Sicherheitsupdates veröffentlichen, um das Problem zu beheben.