• IT-Karriere:
  • Services:

Schnell updaten: Sicherheitslücke in Firefox wird aktiv ausgenutzt

Firefox hat mit Version 72.0.1 ein wichtiges Sicherheitsupdate herausgegeben. Geschlossen wird eine Sicherheitslücke, die bereits aktiv ausgenutzt wird. Gemeldet wurde sie von einer chinesischen Sicherheitsfirma.

Artikel veröffentlicht am ,
Mozilla schließt eine Sicherheitslücke in Firefox.
Mozilla schließt eine Sicherheitslücke in Firefox. (Bild: Alexas_Fotos/Pixabay)

Nur wenige, Tage nachdem Firefox 72 erschienen ist, gibt Mozilla ein wichtiges Sicherheitsupdate heraus. Mit Version 72.0.1 behebt der Browserhersteller eine Zero Day, die bereits aktiv ausgenutzt wird. Auch Firefox ESR und Mobile erhalten mit Version 68.4.1 den Patch.

Stellenmarkt
  1. procilon Group GmbH, Leipzig
  2. Technische Universität Hamburg, Hamburg

Die Sicherheitslücke steckt laut Mozilla in der Browserkomponente Ionmonkey, ein Just-in-time-Compiler für Javascript. Bei der Lücke handelt es sich um eine Type Confusion. Dabei initialisiert das Programm einen Speicherbereich mit einem Typ, greift jedoch später auf die Ressource mit einem andern Typ zu, der inkompatibel zu dem ursprünglichen Typ ist. Details zu der Sicherheitslücke nennt Mozilla jedoch nicht. Allerdings schreibt der Browserhersteller in der Beschreibung: "Wir wissen von gezielten Angriffen, die diesen Fehler missbrauchen."

Entdeckt wurde die Sicherheitslücke von der Sicherheitsfirma Qihoo360, die erst im November auf dem chinesischen Hackerwettbewerb Tianfucup mit etlichen aufgedeckten Zero Days aufwartete. In einem mittlerweile gelöschten Tweet hatte Qihoo360 laut dem Onlinemagazin ZDnet neben der Sicherheitslücke in Firefox auch auf eine Zero Day im Internet Explorer hingewiesen, die ebenfalls von den Angreifern genutzt würde.

Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

gaym0r 10. Jan 2020

Da du die sensiblen Informationen zensiert hast, kann ich nicht beurteilen ob sie...


Folgen Sie uns
       


Demon's Souls Remake (PS5) - Fazit

Im Testvideo stellt Golem.de das Remake des epischen Fantasy-Rollenspiels Demon's Souls für die Playstation 5 vor.

Demon's Souls Remake (PS5) - Fazit Video aufrufen
Next-Gen-Konsolen: Das erste Quartal mit Playstation 5 und Xbox Series X/S
Next-Gen-Konsolen
Das erste Quartal mit Playstation 5 und Xbox Series X/S

Rückblick und Ausblick: Meine ersten drei Monate mit den neuen Konsolen von Sony und Microsoft - und was sich bei der Firmware getan hat.
Von Peter Steinlechner

  1. Sony Zusatz-SSD macht offenbar die Playstation 5 lauter
  2. Sony Playstation-5-Spieler müssen wohl noch warten
  3. Playstation 5 Analogsticks des Dualsense halten wohl nur 400 Stunden durch

The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    Videokonferenzen: Bessere Webcams, bitte!
    Videokonferenzen
    Bessere Webcams, bitte!

    Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
    Ein IMHO von Martin Wolf

    1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera

      •  /