• IT-Karriere:
  • Services:

Schnell updaten: Sicherheitslücke in Firefox wird aktiv ausgenutzt

Firefox hat mit Version 72.0.1 ein wichtiges Sicherheitsupdate herausgegeben. Geschlossen wird eine Sicherheitslücke, die bereits aktiv ausgenutzt wird. Gemeldet wurde sie von einer chinesischen Sicherheitsfirma.

Artikel veröffentlicht am ,
Mozilla schließt eine Sicherheitslücke in Firefox.
Mozilla schließt eine Sicherheitslücke in Firefox. (Bild: Alexas_Fotos/Pixabay)

Nur wenige, Tage nachdem Firefox 72 erschienen ist, gibt Mozilla ein wichtiges Sicherheitsupdate heraus. Mit Version 72.0.1 behebt der Browserhersteller eine Zero Day, die bereits aktiv ausgenutzt wird. Auch Firefox ESR und Mobile erhalten mit Version 68.4.1 den Patch.

Stellenmarkt
  1. GETEC net GmbH, Hannover
  2. ICon GmbH & Co. KG, Pforzheim

Die Sicherheitslücke steckt laut Mozilla in der Browserkomponente Ionmonkey, ein Just-in-time-Compiler für Javascript. Bei der Lücke handelt es sich um eine Type Confusion. Dabei initialisiert das Programm einen Speicherbereich mit einem Typ, greift jedoch später auf die Ressource mit einem andern Typ zu, der inkompatibel zu dem ursprünglichen Typ ist. Details zu der Sicherheitslücke nennt Mozilla jedoch nicht. Allerdings schreibt der Browserhersteller in der Beschreibung: "Wir wissen von gezielten Angriffen, die diesen Fehler missbrauchen."

Entdeckt wurde die Sicherheitslücke von der Sicherheitsfirma Qihoo360, die erst im November auf dem chinesischen Hackerwettbewerb Tianfucup mit etlichen aufgedeckten Zero Days aufwartete. In einem mittlerweile gelöschten Tweet hatte Qihoo360 laut dem Onlinemagazin ZDnet neben der Sicherheitslücke in Firefox auch auf eine Zero Day im Internet Explorer hingewiesen, die ebenfalls von den Angreifern genutzt würde.

Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. ASUS TUF Gaming VG32VQ1B WQHD/165 Hz für 330,45€ statt 389€ im Vergleich und Tastaturen...
  2. 8€
  3. (u. a. The Crew 2 für 8,49€, Doom Eternal für 21,99€, Two Point Hospital für 8,29€, The...
  4. (u. a. Terminator: Dark Fate, Jumanji: The Next Level (auch in 4K), 21 Bridges, Cats (auch in 4K...

gaym0r 10. Jan 2020

Da du die sensiblen Informationen zensiert hast, kann ich nicht beurteilen ob sie...


Folgen Sie uns
       


Google Pixel 4a - Test

Das Pixel 4a ist Googles neues Mittelklasse-Smartphone: Es kostet 350 Euro und hat unter anderem die gleiche Hauptkamera wie das Pixel 4.

Google Pixel 4a - Test Video aufrufen
Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Threat-Actor-Expertin
Militärisch, stoisch, kontrolliert

Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
Ein Porträt von Maja Hoock

  1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
  2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
  3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    PB60: Adminpasswort auf Asus-Rechnern wirkungslos
    PB60
    Adminpasswort auf Asus-Rechnern wirkungslos

    Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.
    Eine Recherche von Hanno Böck

    1. Asus 43-Zoll-Monitor hat HDMI 2.1 für die kommenden Konsolen
    2. ROG Phone 3 im Test Das Hardware-Monster nicht nur für Gamer
    3. Laptop Asus startet Verkauf des Gaming-Notebooks mit zwei Screens

      •  /