Firefox & Thunderbird: Mehrere kritische Lücken

Mozilla hat Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, die mehrere kritische Schwachstellen beheben. Betroffene Versionen sind Firefox 147 und 148 sowie Thunderbird 147 und 148. Nutzer sollten umgehend auf Firefox 149 bzw. Thunderbird 149 aktualisieren.

Betroffene Schwachstellen

Die Updates beheben insgesamt fünf als „hoch“ eingestufte Schwachstellen:

CVE-2026-2792 – Memory Safety Bugs
Mehrere Speichersicherheitsfehler in Firefox ESR 140.7, Thunderbird ESR 140.7, Firefox 147 und Thunderbird 147 ermöglichen potenziell die Ausführung beliebigen Codes.

CVE-2026-4684 – Race Condition in WebRender
Eine Use-After-Free-Schwachstelle in der Graphics: WebRender-Komponente kann von Angreifern für Code-Ausführung ausgenutzt werden.

CVE-2026-4685 & CVE-2026-4686 – Canvas2D Fehler
Falsche Grenzwertprüfungen in der Graphics: Canvas2D-Komponente können zu Speicherfehlern führen.

CVE-2026-4726 – XML DoS
Eine Schwachstelle im XML-Parser ermöglicht Denial-of-Service-Angriffe durch speziell präparierte XML-Dokumente.

CVE-2026-4729 – Weitere Memory Safety Bugs
Zusätzliche Speichersicherheitsfehler in Firefox 148 und Thunderbird 148.

Empfohlene Maßnahmen

• Firefox auf Version 149 aktualisieren
• Thunderbird auf Version 149 aktualisieren
• Alternativ: Firefox ESR auf 140.9 bzw. Thunderbird ESR auf 140.9

Die Updates werden über die automatische Update-Funktion verteilt. Manuelles Nachsehen unter „Hilfe → Über Firefox/Thunderbird“ beschleunigt den Prozess.

Quellen und weiterführende Informationen 📚

• Mozilla Security Advisory MFSA 2026-20
• BSI Warn- und Informationsdienst WID-SEC-2026-0997
• NVD CVE-2026-2792

Fazit

Die kritischen Schwachstellen betreffen Millionen Nutzer weltweit. Da die Lücken das Potenzial für Remote Code Execution haben, ist ein zügiges Update unerlässlich. Unternehmensumgebungen sollten die Verteilung priorisieren.