Schnell updaten: Sicherheitslücke in Firefox wird aktiv ausgenutzt

Firefox hat mit Version 72.0.1 ein wichtiges Sicherheitsupdate herausgegeben. Geschlossen wird eine Sicherheitslücke, die bereits aktiv ausgenutzt wird. Gemeldet wurde sie von einer chinesischen Sicherheitsfirma.

Artikel veröffentlicht am ,
Mozilla schließt eine Sicherheitslücke in Firefox.
Mozilla schließt eine Sicherheitslücke in Firefox. (Bild: Alexas_Fotos/Pixabay)

Nur wenige, Tage nachdem Firefox 72 erschienen ist, gibt Mozilla ein wichtiges Sicherheitsupdate heraus. Mit Version 72.0.1 behebt der Browserhersteller eine Zero Day, die bereits aktiv ausgenutzt wird. Auch Firefox ESR und Mobile erhalten mit Version 68.4.1 den Patch.

Stellenmarkt
  1. Projektkoordinator (m/w/d)
    Packsize GmbH, Herford
  2. Test Manager (m/f/d) for Hardware Security Modules
    Elektrobit Automotive GmbH, Germany - Erlangen
Detailsuche

Die Sicherheitslücke steckt laut Mozilla in der Browserkomponente Ionmonkey, ein Just-in-time-Compiler für Javascript. Bei der Lücke handelt es sich um eine Type Confusion. Dabei initialisiert das Programm einen Speicherbereich mit einem Typ, greift jedoch später auf die Ressource mit einem andern Typ zu, der inkompatibel zu dem ursprünglichen Typ ist. Details zu der Sicherheitslücke nennt Mozilla jedoch nicht. Allerdings schreibt der Browserhersteller in der Beschreibung: "Wir wissen von gezielten Angriffen, die diesen Fehler missbrauchen."

Entdeckt wurde die Sicherheitslücke von der Sicherheitsfirma Qihoo360, die erst im November auf dem chinesischen Hackerwettbewerb Tianfucup mit etlichen aufgedeckten Zero Days aufwartete. In einem mittlerweile gelöschten Tweet hatte Qihoo360 laut dem Onlinemagazin ZDnet neben der Sicherheitslücke in Firefox auch auf eine Zero Day im Internet Explorer hingewiesen, die ebenfalls von den Angreifern genutzt würde.

Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Undecember: Hack-and-Slay für Diablo-Fans kommt bereits im Oktober
    Undecember
    Hack-and-Slay für Diablo-Fans kommt bereits im Oktober

    Die Aufgabenstellung in Undecember ist simpel: Monster töten und Loot einsammeln. Bis zum Release von Diablo 4 könnte das eine gute Beschäftigung sein.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /