Firefox: Mozilla schließt zweite Zero-Day-Lücke wegen Angriffen

Firefox-Hersteller Mozilla hat binnen weniger Tage eine zweite schwere Sicherheitslücke behoben. Die Lücken sind offenbar beide für einen Phishing-Angriff auf Mitarbeiter einer Kryptobörse genutzt worden.

Artikel veröffentlicht am ,
Mozilla hat binnen weniger Tage eine zweite Sicherheitslücke im Firefox geschlossen.
Mozilla hat binnen weniger Tage eine zweite Sicherheitslücke im Firefox geschlossen. (Bild: Mathias Appel/CC0 1.0)

Nur wenige Tage nach dem Update für eine erste kritische Sicherheitslücke hat Mozilla nun auch eine zweite Sicherheitslücke (CVE-2019-11708) behoben, die aktiv für einen Angriff ausgenutzt worden ist. Die stabile Firefox-Version 67.0.4 sowie Firefox ESR 60.7.2 schließen nun auch die zweite Lücke. Die Sicherheitslücken sind offenbar beide in Kombination für einen Angriff auf die Mitarbeiter der Kryptowährungsbörse Coinbase genutzt worden.

Stellenmarkt
  1. Informatiker (m/w/d) für IT Servicedesk - IT Helpdesk/IT Support 1st + 2nd Level
    Rail Power Systems GmbH, München
  2. Wissenschaftlicher Mitarbeiter im Bereich digitale Transformation und digitale Start-ups (w/m/d)
    Forschungszentrum Jülich GmbH, Berlin
Detailsuche

Das berichtet der Security-Verantwortliche von Coinbase, Philip Martin, auf Twitter. Da schon die erste Lücke laut Mozilla von Coinbase gemeldet wurde, ist es wahrscheinlich, dass die Angreifer die Lücke dort ausgenutzt haben. Offenbar gilt das aber nicht für die Nutzer des Dienstes, sondern für dessen Mitarbeiter.

Zwei Lücken für einen Angriff

Martin schreibt dazu: "Am Montag hat Coinbase einen Versuch eines Angreifers entdeckt und blockiert, die gemeldete Zero-Day-Sicherheitslücke mit einer separaten Zero-Day-Sicherheitslücke als Fluchtversuch zum Ausbruch aus der Firefox-Sandbox zu nutzen, um Mitarbeiter von Coinbase anzugreifen".

Das IT-Magazin ZDnet zitiert den Google-Sicherheitsforscher Samuel Groß damit, dass dieser die von ihm gefundene erste Lücke bereits am 15. April an Mozilla gemeldet habe. Demnach habe die erste Lücke das Ausführen von Code in dem Browser ermöglicht. Über einen separaten Sandbox-Ausbruch könnte dann auch weiterer Code auf dem Betriebssystem der Angegriffenen ausgeführt werden.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
Weitere IT-Trainings

Die beiden Sicherheitslücken sind nun also offenbar wie von Groß beschrieben kombiniert worden. Die zweite, nun geschlossene Sicherheitslücke ist ein Fehler im Verarbeiten der Prompt:Open-Nachrichten der Interprozesskommunikation des Firefox zwischen Kind- und Elternprozess.

Der nicht in einer Sandbox laufende Elternprozess öffnet dabei beliebige Webinhalte, die von einem kompromittierten Kindprozess gesteuert werden können. So lässt sich die erste Sicherheitslücke dann eben in einem Prozess ohne Sandbox ausnutzen, um beliebigen Schadcode auf dem System der Opfer einzuschleusen und auszuführen.

Coinbase verspricht Transparenz

Der Coinbase-Sicherheitsforscher Martin schreibt, dass der gesamte Angriff blockiert und aufgearbeitet worden sei. Dabei seien nicht nur die Lücken an Mozilla gemeldet worden, Coinbase habe auch den Schadcode und die dafür genutzte Infrastruktur näher untersucht. Gemeinsam mit anderen Organisationen sollen die Angreifer so unschädlich gemacht werden.

Darüber hinaus sei Coinbase wohl nicht die einzige angegriffene Kryptowährungsbörse. Das Team hat die verwendeten Schadcode-Dateien außerdem bei dem Dienst Virustotal hochgeladen, damit auch andere die Malware untersuchen und leichter überprüfen können, ob sie selbst von diesem speziellen Angriff betroffen sind. Martin verspricht darüber hinaus einen detaillierten Blogeintrag für kommende Woche, in dem der Angriff beschrieben werden soll.

Laut ZDnet haben die Angreifer versucht, die Coinbase-Mitarbeiter mittels einer Phishing-E-Mail auf eine speziell präparierte Webseite zu locken. Der eingeschleuste Schadcode hätte dann etwa Zugangsdaten oder Ähnliches abgreifen können. Der Angriff sei sowohl für Windows wie auch für MacOS gedacht gewesen.

Ob die Angreifer die erste kritische Sicherheitslücke selbst und unabhängig von Samuel Groß entdeckt haben, ist derzeit nicht bekannt. Bei einem Angriff auf den Bugtracker von Mozilla im Jahr 2015 konnte ein Angreifer Informationen zu noch nicht öffentlichen Sicherheitslücken und anderen Fehlern einsehen.

Das Unternehmen hat danach diverse Sicherheitsvorkehrungen getroffen und etwa eine Zwei-Faktor-Authentifizierung für alle Nutzer mit privilegierten Rechten eingeführt. Angesichts dessen ist es eher unwahrscheinlich, dass sich ein Vorfall wie 2015 wiederholt hat und die Coinbase-Angreifer ihre Informationen zu den Sicherheitslücken durch einen Zugriff auf den Bugtracker von Mozilla erhalten haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Intelligente Tür: Schwachstelle in BLE ermöglicht es, Teslas zu hacken
    Intelligente Tür
    Schwachstelle in BLE ermöglicht es, Teslas zu hacken

    Sicherheitsforscher haben eine neue Schwachstelle bei BLE gefunden. Darüber lassen sich verschiedene Türen öffnen, unter anderem die von einigen Teslas.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /