Cisco: Fehler in H.264-Plugin könnte Firefox-Nutzer betreffen

Ein Fehler in der Speicherverwaltung des H.264-Plugins betrifft potentiell Firefox-Nutzer , da Mozilla dieses zwangsweise installiert. Cisco widerspricht dem. Besonders schwerwiegend ist der Fehler zwar nicht, er offenbart aber ein Problem in der Zusammenarbeit mit Cisco.

Aktualisiert am 28. November 2014 um 13:10, veröffentlicht am 27. November 2014 um 15:31 Uhr / Sebastian Grüner

65 Kommentare News folgen (öffnet im neuen Fenster)

Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco. (Bild: Mozilla, Screenshot: Golem.de) — Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco. Bild: Mozilla, Screenshot: Golem.de

Von einem Fehler in der Speicherverwaltung des OpenH.264-Plugins(öffnet im neuen Fenster) könnten Nutzer der aktuellen Version 33 des Firefox-Browsers betroffen sein. Denn Mozilla hat den Browser so gestaltet, dass das Plugin automatisch von den Cisco-Servern heruntergeladen und standardmäßig auch aktiviert wird. Nutzer der verschiedenen instabilen Entwicklungszweige des Firefox sollten ebenfalls dazugehören. Der Fehler selbst tritt in allen Veröffentlichungen des Codecs bis einschließlich Version 1.2 auf und hat die CVE-Nummer 2014-8002(öffnet im neuen Fenster) zugewiesen bekommen. Laut Cisco sind Firefox-Nutzer jedoch nicht betroffen.

Besonders schwerwiegend ist der Fehler wohl aber nicht. Cisco selbst nimmt nur eine mittlere Schwere an. Zwar kann die Lücke höchstwahrscheinlich dazu genutzt werden, die Ausführung des Browsers zu beenden oder auch in Speicherbereiche zu schreiben und eigenen Code ausführen. Letzteres geschehe dann allerdings nur mit den Berechtigungen der Anwendung. Ausgenutzt werden könnte dies mit einer entsprechend präparierten Datei.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: ISO 42001 Foundation KI-Beauftragter mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Exklusiv: Ethical Hacking: Schwachstellen in Webanwendungen und Datenbanken (E-Learning)

zum Kurs

Besonders in Browsern ist diese spezielle Art Fehler häufig, die Use-After-Free genannt wird und es erlaubt, auf bereits freigegebene Speicherbereiche zuzugreifen. Gefunden werden können diese etwa mit Tools wie dem Address Sanitizer(öffnet im neuen Fenster) von Google. Der Fehler zeigt aber exemplarisch, dass Mozilla sowie fast alle Firefox-Nutzer und eventuell weitere Benutzer des Plugins vom Handeln Ciscos abhängig sind.

Bereits zur Ankündigung der Zusammenarbeit von Mozilla und Cisco wies etwa der Sicherheitsforscher Felix von Leitner alias Fefe in seinem privaten Blog(öffnet im neuen Fenster) auf eben diese Abhängigkeit hin. Zwar steht OpenH.264 im Quellcode(öffnet im neuen Fenster) bereit, und für den nun gefundenen Fehler ist ein Update verfügbar. Mozilla dürfte ein Binärmodul wegen der Lizenzbestimmungen der MPEG-LA für H.264 aber nicht selbst verteilen – dies obliegt ausschließlich Cisco. Privatpersonen können den Code aber eigenständig kompilieren und verwenden.

In dem dazugehörigen Bugreport bei Mozilla(öffnet im neuen Fenster) schreibt der Cisco-Angestellte Ethan Hugg, dass der Fehler in keiner Version des bisher für Firefox bereitgestellten OpenH.264-Moduls vorhanden ist. Noch führen die Mozilla-Hacker den Fehler allerdings nicht als offiziell behoben.