Cisco: Fehler in H.264-Plugin könnte Firefox-Nutzer betreffen

Ein Fehler in der Speicherverwaltung des H.264-Plugins betrifft potentiell Firefox-Nutzer, da Mozilla dieses zwangsweise installiert. Cisco widerspricht dem. Besonders schwerwiegend ist der Fehler zwar nicht, er offenbart aber ein Problem in der Zusammenarbeit mit Cisco.

Artikel veröffentlicht am ,
Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco.
Ein Fehler in OpenH.264 zeigt Firefox-Nutzern die Abhängigkeit zu Cisco. (Bild: Mozilla, Screenshot: Golem.de)

Von einem Fehler in der Speicherverwaltung des OpenH.264-Plugins könnten Nutzer der aktuellen Version 33 des Firefox-Browsers betroffen sein. Denn Mozilla hat den Browser so gestaltet, dass das Plugin automatisch von den Cisco-Servern heruntergeladen und standardmäßig auch aktiviert wird. Nutzer der verschiedenen instabilen Entwicklungszweige des Firefox sollten ebenfalls dazugehören. Der Fehler selbst tritt in allen Veröffentlichungen des Codecs bis einschließlich Version 1.2 auf und hat die CVE-Nummer 2014-8002 zugewiesen bekommen. Laut Cisco sind Firefox-Nutzer jedoch nicht betroffen.

Besonders schwerwiegend ist der Fehler wohl aber nicht. Cisco selbst nimmt nur eine mittlere Schwere an. Zwar kann die Lücke höchstwahrscheinlich dazu genutzt werden, die Ausführung des Browsers zu beenden oder auch in Speicherbereiche zu schreiben und eigenen Code ausführen. Letzteres geschehe dann allerdings nur mit den Berechtigungen der Anwendung. Ausgenutzt werden könnte dies mit einer entsprechend präparierten Datei.

Besonders in Browsern ist diese spezielle Art Fehler häufig, die Use-After-Free genannt wird und es erlaubt, auf bereits freigegebene Speicherbereiche zuzugreifen. Gefunden werden können diese etwa mit Tools wie dem Address Sanitizer von Google. Der Fehler zeigt aber exemplarisch, dass Mozilla sowie fast alle Firefox-Nutzer und eventuell weitere Benutzer des Plugins vom Handeln Ciscos abhängig sind.

Bereits zur Ankündigung der Zusammenarbeit von Mozilla und Cisco wies etwa der Sicherheitsforscher Felix von Leitner alias Fefe in seinem privaten Blog auf eben diese Abhängigkeit hin. Zwar steht OpenH.264 im Quellcode bereit, und für den nun gefundenen Fehler ist ein Update verfügbar. Mozilla dürfte ein Binärmodul wegen der Lizenzbestimmungen der MPEG-LA für H.264 aber nicht selbst verteilen - dies obliegt ausschließlich Cisco. Privatpersonen können den Code aber eigenständig kompilieren und verwenden.

In dem dazugehörigen Bugreport bei Mozilla schreibt der Cisco-Angestellte Ethan Hugg, dass der Fehler in keiner Version des bisher für Firefox bereitgestellten OpenH.264-Moduls vorhanden ist. Noch führen die Mozilla-Hacker den Fehler allerdings nicht als offiziell behoben.

Nachtrag vom 28. November 2014, 13:10 Uhr

Laut Cisco sind Firefox-Nutzer nicht betroffen, wir haben den Artikel entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Juli 2018
Chrome bestraft Webseiten ohne HTTPS
artikel-bild
Mozilla
Firefox 33 mit H264-Plugin und Werbe-Kacheln
artikel-bild
Mozilla
Firefox soll mit Werbung in Pocket experimentieren
Meistgelesen
artikel-bild
Makeover
Das neue Microsoft Teams wird schneller und effizienter
artikel-bild
Nammo
TikTok-Strombedarf bremst Expansion von Munitionshersteller
artikel-bild
Discounter
Netto reduziert Balkonkraftwerk auf 500 Euro
Kommentarübersicht
Re: about:crashes
TheUnichi 01. Dez 2014

Ich öffne meist mehrere Tabs, kann gut sein Du wiederholst quasi das, was ich gesagt...

Re: Fedora nicht betroffen
Wallbreaker 28. Nov 2014

Unter Linux ist so ein Plugin völlig sinnfrei. Wozu haben wir denn seit Firefox 30...

Re: Was eine Ironie + Anleitung es zu deaktivieren
hartnegg 28. Nov 2014

Es gibt tatsächlich beide Schalter. Der eine deaktiviert es, der andere entfernt es...

Re: "Besonders schwerwiegend ist der Fehler ....
sehr_interessant 28. Nov 2014

Hast du etwa kein Backup deiner Daten in der Cloud? Selber Schuld!

Aktuell auf der Startseite von Golem.de
Entlassungen bei Disney
Kein Prime-Abo für Disney+ und kein Metaverse mehr geplant

Intern wurden bei Disney gleich zwei Projekte eingestellt. Das führt zu Entlassungen von etwa 50 Personen.

Entlassungen bei Disney: Kein Prime-Abo für Disney+ und kein Metaverse mehr geplant
Artikel
  1. Nuc 12 Pro Test: Mini-Kraftpakete fürs Büro und Mediacenter
    Nuc 12 Pro Test
    Mini-Kraftpakete fürs Büro und Mediacenter

    In Intel-NUCs steckt viel mehr, als man ihnen von außen ansieht. Sie sind ideal fürs Büro, aber auch gut für zu Hause - alles können sie dann aber doch nicht.
    Ein Test von Martin Böckmann

  2. Nach FDP-Blockade: EU beschließt Verbrenner-Aus ab 2035
    Nach FDP-Blockade
    EU beschließt Verbrenner-Aus ab 2035

    Die EU hat sich darauf geeinigt, von 2035 an keine Verbrennerfahrzeuge mehr neu zuzulassen. Ausnahmen soll es für E-Fuel-Autos geben.

  3. Makeover: Das neue Microsoft Teams wird schneller und effizienter
    Makeover
    Das neue Microsoft Teams wird schneller und effizienter

    Microsoft Teams wird komplett überarbeitet und soll nicht nur schneller starten, weicher scrollen und flotter verbinden, sondern auch weniger Speicher belegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Große Amazon Rabatt-Aktion • MindStar: 6 Grafikkarten günstiger • Monitore bis -50% • Windows Week • Logitech bis -49% • Radeon 7900 XTX 24 GB günstig wie nie • Alexa-Sale bei Amazon • Kingston Fury 16GB DDR4-3600 43,90€ • 3 Spiele kaufen, 2 zahlen • MM-Osterangebote [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /