Firefox 100.0.2 und 91.9.1 ESR als Sicherheitsupdate [Changelog]

Mal ganz kurz informiert: Mozilla hat den Firefox so kurz vor dem Wochendende auf die Version 100.0.2 und 91.9.1 ESR aktualisiert. Ebenso Firefox Android 100.3. Das Update selber wird erst später über die Update-Funktion im Browser ausgeführt werden.

Das ist dann schon das zweite Update für den Firefox 100. Aber auch die ESR-Version wurde auf die 91.9.1 aktualisiert. Korrekturen bleiben eben nicht aus. Die Liste der Änderungen wird derzeit vorbereitet und wir werden diese dann auch nachreichen. Da beide Versionen ein Update enthalten, kann es sich durchaus um ein Sicherheitsupdate handeln. [Update]: Die Release Note ist jetzt da.

Korrekturen im Firefox 100.0.2

• Es wurden zwei Sicherheitslücken geschlossen. Beide wurden mit „High“ eingestuft
  • Wenn ein Angreifer in der Lage war, die Methoden eines Array-Objekts in JavaScript via „prototype pollution“ zu manipulieren, hätte er die Ausführung von angreiferkontrolliertem JavaScript-Code in einem privilegierten Kontext erreichen können.
  • Ein Angreifer hätte eine Nachricht an den übergeordneten Prozess senden können, deren Inhalt dazu verwendet wurde, einen doppelten Index in ein JavaScript-Objekt einzubringen. Was zu einer Verfälschung von Einträgen und schließlich zur Ausführung von vom Angreifer kontrolliertem JavaScript im privilegierten übergeordneten Prozess führte.

Info und Download:

• Jetzt mozilla.org/firefox/100.0.2/releasenotes/
• Jetzt mozilla.org/firefox/all
• Auch: mozilla.org/firefox/releases/100.0.2
• Auch: mozilla.org/firefox/releases/91.9.1esr