• IT-Karriere:
  • Services:

Zero Day: Mozilla schließt ausgenutzte Sicherheitslücke in Firefox

Firefox-Hersteller Mozilla hat eine kritische Sicherheitslücke in seinem Browser geschlossen, die wohl aktiv ausgenutzt wird. Updates stehen bereit und werden von Mozilla bereits verteilt.

Artikel veröffentlicht am ,
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen.
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen. (Bild: Sander von der Wel/Flickr.com/CC-BY-SA 2.0)

Mozilla hat die Notfallupdates für den Firefox-Browser veröffentlicht. Die stabile Firefox-Version 67.0.3 sowie Firefox ESR 60.7.1 schließen demnach eine als kritisch eingestufte Sicherheitslücke in dem freien Browser, die laut Mozilla derzeit von Angreifern aktiv ausgenutzt wird. Nutzer, die diese Updates noch nicht erreicht haben, sollten diese dringend einspielen.

Stellenmarkt
  1. IDS Imaging Development Systems GmbH, Obersulm
  2. Rems-Murr-Kliniken gGmbH, Winnenden

Ursache der Sicherheitslücke (CVE-2019-11707) ist eine sogenannte Type Confusion, die auftreten könne, wenn Javascript-Objekte manipuliert werden. Der eigentliche Fehler tritt demnach in der Methode Array.Pop() auf, die das letzte Element aus einem Array zurückgibt und den Eintrag im Array löscht. In der Sicherheitswarnung schreibt Mozilla außerdem, dass dies Angreifern ermöglicht, einen Absturz zu verursachen, der wiederum zum Ausführen von Schadcode genutzt werden kann.

Gefunden und gemeldet haben den Fehler wohl verschiedene Sicherheitsforscher unabhängig voneinander. So wird das Auffinden einerseits dem Forscher Samuel Groß aus Googles Project Zero zugeschrieben. Groß arbeitet an einem Fuzzer für Javascript-Engines mit dem Namen Fuzzilli und hat damit schon mehrere Sicherheitslücken in Browser gefunden, allein in diesem Jahr bereits vier in der Javascript-Engine Ionmonkey des Firefox-Browsers. Zusätzlich dazu verweist Mozilla für die Lücke auch auf das Security-Team der Kryptowährungsbörse Coinbase. Möglicherweise wurde der Fehler bei Nutzern der Plattform aktiv ausgenutzt.

Weitere Details zu der Sicherheitslücke stehen zwar noch nicht bereit, es ist aber davon auszugehen, dass die Erklärungen und Diskussionen zu dem Bug in den Bugtrackern sowohl von Mozilla als auch von Googles Project Zero veröffentlicht werden, sobald der Großteil der Nutzer die verfügbaren Updates eingespielt hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 889€ + 6,99€ Versand (Vergleichspreis 947,99€ inkl. Versand)
  2. 189,99€
  3. (u. a. Sandisk Ultra 3D 2TB SATA-SSD für 159,00€, LG OLED65CX9LA für 1.839,00€, Trust Trino...
  4. (Spring Sale u. a. Anno 1800 für 26,99€, Middle-earth: Shadow of War für 6,80€ und Dying...

mieze1 19. Jun 2019

Viele Seiten laden Unmengen an externem JavaScript von irgendwelchen Werbe- und...


Folgen Sie uns
       


Sega Mega Drive (1990) - Golem retro_

Mit Mega-Power sagte Sega 1990 der Konkurrenz den Kampf an. Im Golem retro_ holen wir uns die Spielhalle nach Hause.

Sega Mega Drive (1990) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /