Firefox: Mozilla schließt zweite Zero-Day-Lücke wegen Angriffen

Firefox-Hersteller Mozilla hat binnen weniger Tage eine zweite schwere Sicherheitslücke behoben. Die Lücken sind offenbar beide für einen Phishing-Angriff auf Mitarbeiter einer Kryptobörse genutzt worden.

Artikel veröffentlicht am ,
Mozilla hat binnen weniger Tage eine zweite Sicherheitslücke im Firefox geschlossen.
Mozilla hat binnen weniger Tage eine zweite Sicherheitslücke im Firefox geschlossen. (Bild: Mathias Appel/CC0 1.0)

Nur wenige Tage nach dem Update für eine erste kritische Sicherheitslücke hat Mozilla nun auch eine zweite Sicherheitslücke (CVE-2019-11708) behoben, die aktiv für einen Angriff ausgenutzt worden ist. Die stabile Firefox-Version 67.0.4 sowie Firefox ESR 60.7.2 schließen nun auch die zweite Lücke. Die Sicherheitslücken sind offenbar beide in Kombination für einen Angriff auf die Mitarbeiter der Kryptowährungsbörse Coinbase genutzt worden.

Stellenmarkt
  1. Senior Software Architect .NET (m/w)
    MED-EL Medical Electronics, Innsbruck (Österreich)
  2. Trainer (m/w/d) - Android App Entwickler / Developer
    WBS GRUPPE, deutschlandweit (Home-Office)
Detailsuche

Das berichtet der Security-Verantwortliche von Coinbase, Philip Martin, auf Twitter. Da schon die erste Lücke laut Mozilla von Coinbase gemeldet wurde, ist es wahrscheinlich, dass die Angreifer die Lücke dort ausgenutzt haben. Offenbar gilt das aber nicht für die Nutzer des Dienstes, sondern für dessen Mitarbeiter.

Zwei Lücken für einen Angriff

Martin schreibt dazu: "Am Montag hat Coinbase einen Versuch eines Angreifers entdeckt und blockiert, die gemeldete Zero-Day-Sicherheitslücke mit einer separaten Zero-Day-Sicherheitslücke als Fluchtversuch zum Ausbruch aus der Firefox-Sandbox zu nutzen, um Mitarbeiter von Coinbase anzugreifen".

Das IT-Magazin ZDnet zitiert den Google-Sicherheitsforscher Samuel Groß damit, dass dieser die von ihm gefundene erste Lücke bereits am 15. April an Mozilla gemeldet habe. Demnach habe die erste Lücke das Ausführen von Code in dem Browser ermöglicht. Über einen separaten Sandbox-Ausbruch könnte dann auch weiterer Code auf dem Betriebssystem der Angegriffenen ausgeführt werden.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Die beiden Sicherheitslücken sind nun also offenbar wie von Groß beschrieben kombiniert worden. Die zweite, nun geschlossene Sicherheitslücke ist ein Fehler im Verarbeiten der Prompt:Open-Nachrichten der Interprozesskommunikation des Firefox zwischen Kind- und Elternprozess.

Der nicht in einer Sandbox laufende Elternprozess öffnet dabei beliebige Webinhalte, die von einem kompromittierten Kindprozess gesteuert werden können. So lässt sich die erste Sicherheitslücke dann eben in einem Prozess ohne Sandbox ausnutzen, um beliebigen Schadcode auf dem System der Opfer einzuschleusen und auszuführen.

Coinbase verspricht Transparenz

Der Coinbase-Sicherheitsforscher Martin schreibt, dass der gesamte Angriff blockiert und aufgearbeitet worden sei. Dabei seien nicht nur die Lücken an Mozilla gemeldet worden, Coinbase habe auch den Schadcode und die dafür genutzte Infrastruktur näher untersucht. Gemeinsam mit anderen Organisationen sollen die Angreifer so unschädlich gemacht werden.

Darüber hinaus sei Coinbase wohl nicht die einzige angegriffene Kryptowährungsbörse. Das Team hat die verwendeten Schadcode-Dateien außerdem bei dem Dienst Virustotal hochgeladen, damit auch andere die Malware untersuchen und leichter überprüfen können, ob sie selbst von diesem speziellen Angriff betroffen sind. Martin verspricht darüber hinaus einen detaillierten Blogeintrag für kommende Woche, in dem der Angriff beschrieben werden soll.

Laut ZDnet haben die Angreifer versucht, die Coinbase-Mitarbeiter mittels einer Phishing-E-Mail auf eine speziell präparierte Webseite zu locken. Der eingeschleuste Schadcode hätte dann etwa Zugangsdaten oder Ähnliches abgreifen können. Der Angriff sei sowohl für Windows wie auch für MacOS gedacht gewesen.

Ob die Angreifer die erste kritische Sicherheitslücke selbst und unabhängig von Samuel Groß entdeckt haben, ist derzeit nicht bekannt. Bei einem Angriff auf den Bugtracker von Mozilla im Jahr 2015 konnte ein Angreifer Informationen zu noch nicht öffentlichen Sicherheitslücken und anderen Fehlern einsehen.

Das Unternehmen hat danach diverse Sicherheitsvorkehrungen getroffen und etwa eine Zwei-Faktor-Authentifizierung für alle Nutzer mit privilegierten Rechten eingeführt. Angesichts dessen ist es eher unwahrscheinlich, dass sich ein Vorfall wie 2015 wiederholt hat und die Coinbase-Angreifer ihre Informationen zu den Sicherheitslücken durch einen Zugriff auf den Bugtracker von Mozilla erhalten haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /