Zero Day: Mozilla schließt ausgenutzte Sicherheitslücke in Firefox

Mozilla hat die Notfallupdates für den Firefox-Browser veröffentlicht. Die stabile Firefox-Version 67.0.3 sowie Firefox ESR 60.7.1 schließen demnach eine als kritisch eingestufte Sicherheitslücke in dem freien Browser, die laut Mozilla derzeit von Angreifern aktiv ausgenutzt wird. Nutzer, die diese Updates noch nicht erreicht haben, sollten diese dringend einspielen.

Stellenmarkt

1. Bundesanstalt für Post und Telekommunikation Deutsche Bundespost, Bonn, Stuttgart
2. igefa IT-Service GmbH & Co. KG, Ahrensfelde bei Berlin, Dresden

Ursache der Sicherheitslücke (CVE-2019-11707) ist eine sogenannte Type Confusion, die auftreten könne, wenn Javascript-Objekte manipuliert werden. Der eigentliche Fehler tritt demnach in der Methode Array.Pop() auf, die das letzte Element aus einem Array zurückgibt und den Eintrag im Array löscht. In der Sicherheitswarnung schreibt Mozilla außerdem, dass dies Angreifern ermöglicht, einen Absturz zu verursachen, der wiederum zum Ausführen von Schadcode genutzt werden kann.

Gefunden und gemeldet haben den Fehler wohl verschiedene Sicherheitsforscher unabhängig voneinander. So wird das Auffinden einerseits dem Forscher Samuel Groß aus Googles Project Zero zugeschrieben. Groß arbeitet an einem Fuzzer für Javascript-Engines mit dem Namen Fuzzilli und hat damit schon mehrere Sicherheitslücken in Browser gefunden, allein in diesem Jahr bereits vier in der Javascript-Engine Ionmonkey des Firefox-Browsers. Zusätzlich dazu verweist Mozilla für die Lücke auch auf das Security-Team der Kryptowährungsbörse Coinbase. Möglicherweise wurde der Fehler bei Nutzern der Plattform aktiv ausgenutzt.

Weitere Details zu der Sicherheitslücke stehen zwar noch nicht bereit, es ist aber davon auszugehen, dass die Erklärungen und Diskussionen zu dem Bug in den Bugtrackern sowohl von Mozilla als auch von Googles Project Zero veröffentlicht werden, sobald der Großteil der Nutzer die verfügbaren Updates eingespielt hat.