Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Schnell updaten: Sicherheitslücke in Firefox wird aktiv ausgenutzt

Firefox hat mit Version 72.0.1 ein wichtiges Sicherheitsupdate herausgegeben. Geschlossen wird eine Sicherheitslücke , die bereits aktiv ausgenutzt wird. Gemeldet wurde sie von einer chinesischen Sicherheitsfirma.
/ Moritz Tremmel
3 Kommentare News folgen (öffnet im neuen Fenster)
Mozilla schließt eine Sicherheitslücke in Firefox. (Bild: Alexas_Fotos/Pixabay)
Mozilla schließt eine Sicherheitslücke in Firefox. Bild: Alexas_Fotos/Pixabay

Nur wenige, Tage nachdem Firefox 72 erschienen ist, gibt Mozilla ein wichtiges Sicherheitsupdate heraus. Mit Version 72.0.1 behebt der Browserhersteller eine Zero Day, die bereits aktiv ausgenutzt wird. Auch Firefox ESR und Mobile erhalten mit Version 68.4.1 den Patch.

Die Sicherheitslücke steckt laut Mozilla in der Browserkomponente Ionmonkey, ein Just-in-time-Compiler für Javascript. Bei der Lücke handelt es sich um eine Type Confusion. Dabei initialisiert das Programm einen Speicherbereich mit einem Typ, greift jedoch später auf die Ressource mit einem andern Typ zu, der inkompatibel zu dem ursprünglichen Typ ist. Details zu der Sicherheitslücke nennt Mozilla jedoch nicht. Allerdings schreibt der Browserhersteller(öffnet im neuen Fenster) in der Beschreibung: "Wir wissen von gezielten Angriffen, die diesen Fehler missbrauchen."

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
System Manager - Laboratory Enterprise Systems (f/m/d) Ascendis Pharma GmbH, Heidelberg (öffnet im neuen Fenster)
Backend / Game Engine Engineer (m/w/d) 4Players GmbH, Hamburg,Home Office (öffnet im neuen Fenster)
Leiter IT & Digitalisierung (m/w/d) wobra Wohnungsbaugesellschaft der Stadt Brandenburg an der Havel mbH, Brandenburg an der Havel (öffnet im neuen Fenster)
Incident- & Processmanager/in (w/m/d) im Bereich der IT-Lagebeobachtung und -bewältigung Bundesamt für Sicherheit in der Informationstechnik, Bonn (öffnet im neuen Fenster)
Leitung (m/w/d) IT, Digitalisierung und Zentraler Service Landratsamt Miesbach, Miesbach (öffnet im neuen Fenster)
IT-Systemadministrator*in ESWE Verkehrsgesellschaft mbH, Wiesbaden (öffnet im neuen Fenster)
IT System Administrator (m/w/d) - Schwerpunkt E Mail / Exchange Ratiodata SE, Karlsruhe,Frankfurt am Main,Duisburg,Münster,Koblenz (öffnet im neuen Fenster)
Strategic Purchasing Administrator (m/w/d) ORAFOL Europe GmbH, Oranienburg (öffnet im neuen Fenster)

Entdeckt wurde die Sicherheitslücke von der Sicherheitsfirma Qihoo360, die erst im November auf dem chinesischen Hackerwettbewerb Tianfucup mit etlichen aufgedeckten Zero Days aufwartete. In einem mittlerweile gelöschten Tweet hatte Qihoo360 laut dem Onlinemagazin ZDnet(öffnet im neuen Fenster) neben der Sicherheitslücke in Firefox auch auf eine Zero Day im Internet Explorer hingewiesen, die ebenfalls von den Angreifern genutzt würde.

Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen , sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Zur Startseite 3 Kommentare

Relevante Themen

Open SourceSoftwareSecuritySicherheitslückeWissenDatensicherheitFirefox ESR