Abo
  • Services:
Anzeige
Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco.
Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco. (Bild: Mozilla, Screenshot: Golem.de)

Cisco: Fehler in H.264-Plugin könnte Firefox-Nutzer betreffen

Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco.
Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco. (Bild: Mozilla, Screenshot: Golem.de)

Ein Fehler in der Speicherverwaltung des H.264-Plugins betrifft potentiell Firefox-Nutzer, da Mozilla dieses zwangsweise installiert. Cisco widerspricht dem. Besonders schwerwiegend ist der Fehler zwar nicht, er offenbart aber ein Problem in der Zusammenarbeit mit Cisco.

Anzeige

Von einem Fehler in der Speicherverwaltung des OpenH.264-Plugins könnten Nutzer der aktuellen Version 33 des Firefox-Browsers betroffen sein. Denn Mozilla hat den Browser so gestaltet, dass das Plugin automatisch von den Cisco-Servern heruntergeladen und standardmäßig auch aktiviert wird. Nutzer der verschiedenen instabilen Entwicklungszweige des Firefox sollten ebenfalls dazugehören. Der Fehler selbst tritt in allen Veröffentlichungen des Codecs bis einschließlich Version 1.2 auf und hat die CVE-Nummer 2014-8002 zugewiesen bekommen. Laut Cisco sind Firefox-Nutzer jedoch nicht betroffen.

Besonders schwerwiegend ist der Fehler wohl aber nicht. Cisco selbst nimmt nur eine mittlere Schwere an. Zwar kann die Lücke höchstwahrscheinlich dazu genutzt werden, die Ausführung des Browsers zu beenden oder auch in Speicherbereiche zu schreiben und eigenen Code ausführen. Letzteres geschehe dann allerdings nur mit den Berechtigungen der Anwendung. Ausgenutzt werden könnte dies mit einer entsprechend präparierten Datei.

Besonders in Browsern ist diese spezielle Art Fehler häufig, die Use-After-Free genannt wird und es erlaubt, auf bereits freigegebene Speicherbereiche zuzugreifen. Gefunden werden können diese etwa mit Tools wie dem Address Sanitizer von Google. Der Fehler zeigt aber exemplarisch, dass Mozilla sowie fast alle Firefox-Nutzer und eventuell weitere Benutzer des Plugins vom Handeln Ciscos abhängig sind.

Bereits zur Ankündigung der Zusammenarbeit von Mozilla und Cisco wies etwa der Sicherheitsforscher Felix von Leitner alias Fefe in seinem privaten Blog auf eben diese Abhängigkeit hin. Zwar steht OpenH.264 im Quellcode bereit, und für den nun gefundenen Fehler ist ein Update verfügbar. Mozilla dürfte ein Binärmodul wegen der Lizenzbestimmungen der MPEG-LA für H.264 aber nicht selbst verteilen - dies obliegt ausschließlich Cisco. Privatpersonen können den Code aber eigenständig kompilieren und verwenden.

In dem dazugehörigen Bugreport bei Mozilla schreibt der Cisco-Angestellte Ethan Hugg, dass der Fehler in keiner Version des bisher für Firefox bereitgestellten OpenH.264-Moduls vorhanden ist. Noch führen die Mozilla-Hacker den Fehler allerdings nicht als offiziell behoben.

Nachtrag vom 28. November 2014, 13:10 Uhr

Laut Cisco sind Firefox-Nutzer nicht betroffen, wir haben den Artikel entsprechend angepasst.


eye home zur Startseite
TheUnichi 01. Dez 2014

Ich öffne meist mehrere Tabs, kann gut sein Du wiederholst quasi das, was ich gesagt...

Wallbreaker 28. Nov 2014

Unter Linux ist so ein Plugin völlig sinnfrei. Wozu haben wir denn seit Firefox 30...

hartnegg 28. Nov 2014

Es gibt tatsächlich beide Schalter. Der eine deaktiviert es, der andere entfernt es...

sehr_interessant 28. Nov 2014

Hast du etwa kein Backup deiner Daten in der Cloud? Selber Schuld!

Yoyo117 27. Nov 2014

Bitte les doch erst den Thread bevor du so einen Schmarrn verbreitest. Du musst gar...



Anzeige

Stellenmarkt
  1. Neoperl GmbH, Müllheim
  2. T-Systems International GmbH, München
  3. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart, Neu-Ulm, Ulm
  4. STRENGER Bauen und Wohnen GmbH, Ludwigsburg


Anzeige
Blu-ray-Angebote
  1. 23,94€ (Vorbesteller-Preisgarantie)
  2. (u. a. Homefront 7,97€, The Wave 6,97€, Lone Survivor 6,97€)
  3. (u. a. Jurassic World, Fast & Furious 7, Die Unfassbaren, Interstellar, Terminator 5)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  2. Landwirtschaft 4.0 Swagbot hütet das Vieh
  3. Künstliche Muskeln Skelettroboter klappert mit den Zähnen

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: Daten-GAU

    dudida | 08:50

  2. Re: 30 Stunden auf Abruf ?!?

    Tremolino | 08:47

  3. Re: Oder einfach USB kabel

    nasenweis | 08:42

  4. Re: 350 Mio User

    Weltschneise | 08:39

  5. Re: Wer nicht Telegram nutzt

    grslbr | 08:36


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel