Firefox-Updates schließen zahlreiche Sicherheitslücken

firefox browser


Die Entwickler der Mozilla Foundation haben im Webbrowser Firefox mehr als ein Dutzend Sicherheitslücken gestopft.

heise security logoDie Entwickler der Mozilla Foundation haben Sicherheits-Updates ihres Webbrowsers veröffentlicht. In Firefox 94 schließen sie damit 13 Sicherheitslücken, in der ESR-Version 91.3 derer zehn. Sieben der Lücken stellen laut Einschätzung der Programmierer ein hohes Sicherheitsrisiko dar, vier ein moderates und zwei ein niedriges. Das schwerwiegendste Problem betrifft beide Vorgängerversionen gleichermaßen und lag in der Speicherverwaltung vergraben (interne Bezeichnung MOZ-2021-0007). Fehler darin könnten mit genügend Aufwand höchstwahrscheinlich zum Ausführen von eingeschleustem Code ausgenutzt werden. 

external link https://www.heise.de/

Massiver Anstieg von Phishing-Attacken

phishing


Eine 200-prozentige Steigerung an Phishing-Attacken auf Unternehmen innerhalb eines Jahres, verzeichnen die Security-Experten der BeyondTrust-Labs.

security insiderDer Großteil der bis Mitte 2021 abgefangenen Betrugsnachrichten nutzte Corona-Gesundheitsthemen, um Nutzer zur Offenlegung vertraulicher Informationen zu verleiten. BeyondTrust Labs hat durch Überwachung und Analyse von tatsächlich im letzten Jahr stattgefundenen IT-Attacken im Malware Threat Report 2021 ausgewertet, wie sich die Gefahrenlage für Organisationen verändert hat. In der Sicherheitsstudie werden wiederkehrende Bedrohungsszenarien detailliert untersucht, die von Unternehmenskunden und Incident Response Teams über BeyondTrust-Lösungen erkannt wurden. Außerdem werden Tools, Techniken und Prozesse anhand des MITRE ATT&CK Enterprise Framework auf ihre Wirksamkeit geprüft.

external link https://www.security-insider.de/

Angreifer könnten Source Code trojanisieren, der trotzdem legitim aussieht

ddos attacke


Aufgrund von Schwachstellen im Unicode-Standard könnten Angreifer etwa Hintertüren in Quellcodes unterbringen, die Sicherheitsforschern nicht auffallen.

heise security logoAngreifer könnten mit einer bestimmten Taktik theoretisch beliebigen Source Code mit Schadfunktionen ausstatten, ohne, dass eine Untersuchung des Codes durch Sicherheitsforscher Auffälligkeiten zutage fördert. Wird der Quellcode dann kompiliert und ausgeführt, könnten sich Angreifer beispielsweise mit Hintertüren auf Computern einnisten. Davon soll im Grunde jede Programmiersprache betroffen sein.

external link https://www.heise.de/