Cisco: Fehler in H.264-Plugin könnte Firefox-Nutzer betreffen

Ein Fehler in der Speicherverwaltung des H.264-Plugins betrifft potentiell Firefox-Nutzer, da Mozilla dieses zwangsweise installiert. Cisco widerspricht dem. Besonders schwerwiegend ist der Fehler zwar nicht, er offenbart aber ein Problem in der Zusammenarbeit mit Cisco.

Artikel veröffentlicht am ,
Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco.
Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco. (Bild: Mozilla, Screenshot: Golem.de)

Von einem Fehler in der Speicherverwaltung des OpenH.264-Plugins könnten Nutzer der aktuellen Version 33 des Firefox-Browsers betroffen sein. Denn Mozilla hat den Browser so gestaltet, dass das Plugin automatisch von den Cisco-Servern heruntergeladen und standardmäßig auch aktiviert wird. Nutzer der verschiedenen instabilen Entwicklungszweige des Firefox sollten ebenfalls dazugehören. Der Fehler selbst tritt in allen Veröffentlichungen des Codecs bis einschließlich Version 1.2 auf und hat die CVE-Nummer 2014-8002 zugewiesen bekommen. Laut Cisco sind Firefox-Nutzer jedoch nicht betroffen.

Stellenmarkt
  1. Microsoft 365 Cloud Engineer (m/w/d)
    BUCS IT, Wuppertal
  2. IT-Systemtechniker in der Leit- und Kommunikationstechnik der Werkfeuerwehr (m/w/d)
    CURRENTA GmbH & Co. OHG, Leverkusen, Dormagen, Krefeld-Uerdingen
Detailsuche

Besonders schwerwiegend ist der Fehler wohl aber nicht. Cisco selbst nimmt nur eine mittlere Schwere an. Zwar kann die Lücke höchstwahrscheinlich dazu genutzt werden, die Ausführung des Browsers zu beenden oder auch in Speicherbereiche zu schreiben und eigenen Code ausführen. Letzteres geschehe dann allerdings nur mit den Berechtigungen der Anwendung. Ausgenutzt werden könnte dies mit einer entsprechend präparierten Datei.

Besonders in Browsern ist diese spezielle Art Fehler häufig, die Use-After-Free genannt wird und es erlaubt, auf bereits freigegebene Speicherbereiche zuzugreifen. Gefunden werden können diese etwa mit Tools wie dem Address Sanitizer von Google. Der Fehler zeigt aber exemplarisch, dass Mozilla sowie fast alle Firefox-Nutzer und eventuell weitere Benutzer des Plugins vom Handeln Ciscos abhängig sind.

Bereits zur Ankündigung der Zusammenarbeit von Mozilla und Cisco wies etwa der Sicherheitsforscher Felix von Leitner alias Fefe in seinem privaten Blog auf eben diese Abhängigkeit hin. Zwar steht OpenH.264 im Quellcode bereit, und für den nun gefundenen Fehler ist ein Update verfügbar. Mozilla dürfte ein Binärmodul wegen der Lizenzbestimmungen der MPEG-LA für H.264 aber nicht selbst verteilen - dies obliegt ausschließlich Cisco. Privatpersonen können den Code aber eigenständig kompilieren und verwenden.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
  2. Linux-Systemadministration Grundlagen
    25.-29. Oktober 2021, online
  3. Linux-Shellprogrammierung
    2.-5. November 2021, online
Weitere IT-Trainings

In dem dazugehörigen Bugreport bei Mozilla schreibt der Cisco-Angestellte Ethan Hugg, dass der Fehler in keiner Version des bisher für Firefox bereitgestellten OpenH.264-Moduls vorhanden ist. Noch führen die Mozilla-Hacker den Fehler allerdings nicht als offiziell behoben.

Nachtrag vom 28. November 2014, 13:10 Uhr

Laut Cisco sind Firefox-Nutzer nicht betroffen, wir haben den Artikel entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


TheUnichi 01. Dez 2014

Ich öffne meist mehrere Tabs, kann gut sein Du wiederholst quasi das, was ich gesagt...

Wallbreaker 28. Nov 2014

Unter Linux ist so ein Plugin völlig sinnfrei. Wozu haben wir denn seit Firefox 30...

hartnegg 28. Nov 2014

Es gibt tatsächlich beide Schalter. Der eine deaktiviert es, der andere entfernt es...

sehr_interessant 28. Nov 2014

Hast du etwa kein Backup deiner Daten in der Cloud? Selber Schuld!

Yoyo117 27. Nov 2014

Bitte les doch erst den Thread bevor du so einen Schmarrn verbreitest. Du musst gar...



Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. 30.000 Menschen sahen zu: Bitcoin-Diebe lockten mit gefälschtem Apple-Livestream
    30.000 Menschen sahen zu
    Bitcoin-Diebe lockten mit gefälschtem Apple-Livestream

    Cyberkriminelle haben auf Youtube eine Keynote des Herstellers Apple vorgetäuscht, um Zuschauer um Bitcoin zu betrügen.

  2. Eco-SIM: Vodafone führt die recycelte SIM-Karte ein
    Eco-SIM
    Vodafone führt die recycelte SIM-Karte ein

    Laut Vodafone ist das Netz schon grün. Auch die SIM-Karte soll umweltfreundlich werden. Doch ganz so einfach ist es nicht.

  3. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /