Kritische Sicherheitsupdates: Chrome, Edge, Firefox, Thunderbird, Adobe Acrobat, Foxit PDF

Zum 12. September 2023 gab es weitere Sicherheitsupdates für diverse Software, die teilweise kritische Schwachstellen (0-Days) schließen sollen. Adobe hat Update für den Acrobat und den Reader veröffentlicht, und der Foxit-PDF-Reader ist auch betroffen. Bei den Chromium-Browsern müssen Sicherheitslücken beim Google Chrome und beim Edge geschlossen werden. Die Mozilla Entwickler haben dagegen Notfall-Updates für den Firefox und den Thunderbird herausgebracht. Ich fasse mal die Updates in diesem Sammelbeitrag zusammen.

Acrobat-Software

Sowohl Adobe als auch FoxIt haben zum 12. September 2023 Updates veröffentlicht, die Schwachstellen beseitigen, die bereits angegriffen werden.

Adobe Acrobat (Reader) DC 23.006.20320.

Von Adobe gab es zum 12. September 2023 ein geplantes Update für den Adobe Acrobat (Reader) DC auf die Build 23.006.20320. Dieses Update korrigiert mehrere Bugs und schließt laut dieser Adobe-Seite auch die Schwachstelle CVE-2023-26369 im Reader und im Acrobat. Laut Adobe finden begrenzte Angriffe über diese Schwachstelle statt. Die Kollegen von deskmodder.de haben hier die Download-Links der verschiedenen Produkte zusammen getragen.

Foxit PDF Editor/PDF Reader

Der Hersteller Foxit hat Sicherheitsupdates auf die Version 2023.2 für seinen Windows-Produkte Foxit PDF Editor und Foxit PDF Editor Reader veröffentlicht (danke an den Leser für den Hinweis). In der Seite für Sicherheitshinweise werden gleich mehrere Schwachstellen in den Produkten aufgeführt, die durch die Updates beseitigt werden sollen. heise hat hier noch einige Hinweise zu den Schwachstellen veröffentlicht.

Chromium-Browser

Sowohl der Google Chrome als auch der Microsoft Edge haben Sicherheitsupdates erhalten, um eine kritische Schwachstelle zu schließen.

Google Chrome 117 Desktop

Google hat zum 12. September 2023 Updates des Chrome Browsers 117 im Stable Channel für Mac, Linux und Windows freigegeben (danke an EP für den Hinweis). Der betreffende Eintrag für den Chrome 117 findet sich im Google-Blog. Der Stable Channel wurde für macOS und Linux auf117.0.5938.62 aktualisiert. Für Windows wurde der Chrome auf die Versionen 117.0.5938.62/.63 aktualisiert. Es ist ein Update, welches folgende Schwachstellen schließt.

• [$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06
• [$3000][1430867] Medium CVE-2023-4900: Inappropriate implementation in Custom Tabs. Reported by Levit Nudi from Kenya on 2023-04-06
• [$3000][1459281] Medium CVE-2023-4901: Inappropriate implementation in Prompts. Reported by Kang Ali on 2023-06-29
• [$2000][1454515] Medium CVE-2023-4902: Inappropriate implementation in Input. Reported by Axel Chong on 2023-06-14
• [$1000][1446709] Medium CVE-2023-4903: Inappropriate implementation in Custom Mobile Tabs. Reported by Ahmed ElMasry on 2023-05-18
• [$1000][1453501] Medium CVE-2023-4904: Insufficient policy enforcement in Downloads. Reported by Tudor Enache @tudorhacks on 2023-06-09
• [$500][1441228] Medium CVE-2023-4905: Inappropriate implementation in Prompts. Reported by Hafiizh on 2023-04-29
• [$6000][1449874] Low CVE-2023-4906: Insufficient policy enforcement in Autofill. Reported by Ahmed ElMasry on 2023-05-30
• [$2000][1462104] Low CVE-2023-4907: Inappropriate implementation in Intents. Reported by Mohit Raj (shadow2639)  on 2023-07-04
• [$TBD][1451543] Low CVE-2023-4908: Inappropriate implementation in Picture in Picture. Reported by Axel Chong on 2023-06-06
• [$TBD][1463293] Low CVE-2023-4909: Inappropriate implementation in Interstitials. Reported by Axel Chong on 2023-07-09

Details werden wie üblich keine genannt. Google ist bekannt, dass ein Exploit für CVE-2023-4863 in freier Wildbahn existiert. Chrome wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann (und sollte in diesem Fall) den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.

Chrome für Android wurde auf die Version 117.0.5938.60 aktualisiert und wird ausgerollt.

Edge 116.0.1938.81

Microsoft hat den Edge-Browser im Stable-Channel auf die Version 116.0.1938.81 aktualisiert. In den Versionshinweisen heißt es: "Verschiedene Fehler und Leistungsprobleme für die Stable-Version behoben". In den Sicherheitshinweisen heißt es, dass das Update neben Fehlerbehebungen und Stabilitätsverbesserungen auch die neuesten Sicherheitskorrekturen für den Chromium-Browser enthält. Zudem wird die Schwachstelle CVE-2023-4863 beseitigt.

Firefox-/Thunderbird-Updates

Die Mozilla-Entwickler haben einige Updates für verschieden Builds des Firefox-Browsers veröffentlicht (danke an EP für den Hinweis). Und der Thunderbird wurde aktualisiert, um eine Schwachstelle zu schließen.

Firefox 117.0.1

Es handelt sich um das erste Update des Ende August veröffentlichten Firefox 117. Laut den Release Notes wurden verschiedene Fehler beseitigt.

• Fixed a bug causing links opened from outside Firefox to not open on macOS (bug 1850828)
• Fixed a bug causing extensions using an event page for long-running tasks to be terminated while running, causing unexpected behavior changes (bug 1851373)
• Temporarily reverted an intentional behavior change preventing Javascript from changing URL.protocol (bug 1850954).
  NOTE: This change is expected to ship in a later Firefox release alongside other web browsers and sites are encouraged to find alternate ways to change the protocol if needed.
• Fixed audio worklets not working for sites using WebAssembly exception handling (bug 1851468)
• Fixed the Reopen all tabs option in the Recently closed tabs menu sometimes failing to open all tabs (bug 1850856)
• Fixed the bookmarks menu sometimes remaining partially visible when minimizing Firefox (bug 1843700)
• Fixed an issue causing incorrect time zones to be detected on some sites (bug 1848615)

Gewichtiger ist aber die in allen Versionen zum 12. September 2023 geschlossene Schwachstelle CVE-2023-4863: Heap buffer overflow in libwebp.

Firefox 115.2.1 ESR

Es ist ein Wartungsupdate für den Firefox. Gemäß den Release Notes wurde im Browser die Schwachstelle CVE-2023-4863: Heap buffer overflow in libwebp behoben.

Firefox 102.15.1 ESR

Laut den Kollegen von deskmodder gab es auch ein Wartungsupdate des Firefox 102.15.1.1, welches ebenfalls die Schwachstelle CVE-2023-4863: Heap buffer overflow in libwebp beseitigt.

Thunderbird 115.2.2

Nachdem vor Tagen die Nutzer der Version 102 auf den Thunderbird 115 angehoben wurde, dürfen alle Anwender dieser Version ein Sicherheitsupdate auf die Version 115.2.2 installieren. Laut Release Notes wird der Version ebenfalls die Schwachstelle CVE-2023-4863: Heap buffer overflow in libwebp beseitigt. Wer noch auf dem Thunderbird 102.er Zweig ist, sollte Thunderbird 102.15.1 installieren.

OpenSSL: Update und EOL

Blog-Leser Norddeutsch hat darauf hingewiesen, dass OpenSSL gemäß dieser Webseite zum 11. September 2023 auf die Version openssl-1.1.1w aktualisiert wurde. Es wurde wohl die Schwachstelle CVE-2023-4807 unter Windows  geschlossen – Details gibt es hier. Gleichzeitig wird OpenSSL 1.1.1 als End-of-Life gesetzt und fällt aus dem Support (danke an Tom für den Kommentar). Die Version 3.0 wird bis 2026 unterstützt.

Zoom Update

Ergänzung: Zur Zoom-Kommunikationssoftware gibt es ebenfalls einen Sicherheitshinweis, weil zum 12. Sept. 2023 zahlreiche Schwachstellen geschlossen wurden. Also Zoom updaten.