Abo
  • IT-Karriere:

Zero Day: Mozilla schließt ausgenutzte Sicherheitslücke in Firefox

Firefox-Hersteller Mozilla hat eine kritische Sicherheitslücke in seinem Browser geschlossen, die wohl aktiv ausgenutzt wird. Updates stehen bereit und werden von Mozilla bereits verteilt.

Artikel veröffentlicht am ,
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen.
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen. (Bild: Sander von der Wel/Flickr.com/CC-BY-SA 2.0)

Mozilla hat die Notfallupdates für den Firefox-Browser veröffentlicht. Die stabile Firefox-Version 67.0.3 sowie Firefox ESR 60.7.1 schließen demnach eine als kritisch eingestufte Sicherheitslücke in dem freien Browser, die laut Mozilla derzeit von Angreifern aktiv ausgenutzt wird. Nutzer, die diese Updates noch nicht erreicht haben, sollten diese dringend einspielen.

Stellenmarkt
  1. Ober Scharrer Gruppe GmbH, Fürth bei Nürnberg
  2. Eurowings Aviation GmbH, Köln

Ursache der Sicherheitslücke (CVE-2019-11707) ist eine sogenannte Type Confusion, die auftreten könne, wenn Javascript-Objekte manipuliert werden. Der eigentliche Fehler tritt demnach in der Methode Array.Pop() auf, die das letzte Element aus einem Array zurückgibt und den Eintrag im Array löscht. In der Sicherheitswarnung schreibt Mozilla außerdem, dass dies Angreifern ermöglicht, einen Absturz zu verursachen, der wiederum zum Ausführen von Schadcode genutzt werden kann.

Gefunden und gemeldet haben den Fehler wohl verschiedene Sicherheitsforscher unabhängig voneinander. So wird das Auffinden einerseits dem Forscher Samuel Groß aus Googles Project Zero zugeschrieben. Groß arbeitet an einem Fuzzer für Javascript-Engines mit dem Namen Fuzzilli und hat damit schon mehrere Sicherheitslücken in Browser gefunden, allein in diesem Jahr bereits vier in der Javascript-Engine Ionmonkey des Firefox-Browsers. Zusätzlich dazu verweist Mozilla für die Lücke auch auf das Security-Team der Kryptowährungsbörse Coinbase. Möglicherweise wurde der Fehler bei Nutzern der Plattform aktiv ausgenutzt.

Weitere Details zu der Sicherheitslücke stehen zwar noch nicht bereit, es ist aber davon auszugehen, dass die Erklärungen und Diskussionen zu dem Bug in den Bugtrackern sowohl von Mozilla als auch von Googles Project Zero veröffentlicht werden, sobald der Großteil der Nutzer die verfügbaren Updates eingespielt hat.



Anzeige
Hardware-Angebote
  1. 274,00€
  2. 71,90€ + Versand
  3. täglich neue Deals bei Alternate.de

mieze1 19. Jun 2019 / Themenstart

Viele Seiten laden Unmengen an externem JavaScript von irgendwelchen Werbe- und...

Kommentieren


Folgen Sie uns
       


Dell XPS 13 (7390) - Hands on

Das XPS 13 Convertible (7390) ist Dells neues 360-Grad-Gerät: Es nutzt Ice-Lake-Chips für doppelte Geschwindigkeit, hat ein höher auflösendes Display, eine nach oben versetzte Kamera und eine magnetisch arbeitende Tastatur.

Dell XPS 13 (7390) - Hands on Video aufrufen
Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  2. Nahverkehr Google verbessert Öffi-Navigation in Maps
  3. Google Maps-Nutzer können öffentliche Veranstaltungen erstellen

Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

    •  /