Abo
  • IT-Karriere:

Zero Day: Mozilla schließt ausgenutzte Sicherheitslücke in Firefox

Firefox-Hersteller Mozilla hat eine kritische Sicherheitslücke in seinem Browser geschlossen, die wohl aktiv ausgenutzt wird. Updates stehen bereit und werden von Mozilla bereits verteilt.

Artikel veröffentlicht am ,
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen.
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen. (Bild: Sander von der Wel/Flickr.com/CC-BY-SA 2.0)

Mozilla hat die Notfallupdates für den Firefox-Browser veröffentlicht. Die stabile Firefox-Version 67.0.3 sowie Firefox ESR 60.7.1 schließen demnach eine als kritisch eingestufte Sicherheitslücke in dem freien Browser, die laut Mozilla derzeit von Angreifern aktiv ausgenutzt wird. Nutzer, die diese Updates noch nicht erreicht haben, sollten diese dringend einspielen.

Stellenmarkt
  1. ElringKlinger AG, Reutlingen
  2. Süwag Energie AG, Frankfurt am Main

Ursache der Sicherheitslücke (CVE-2019-11707) ist eine sogenannte Type Confusion, die auftreten könne, wenn Javascript-Objekte manipuliert werden. Der eigentliche Fehler tritt demnach in der Methode Array.Pop() auf, die das letzte Element aus einem Array zurückgibt und den Eintrag im Array löscht. In der Sicherheitswarnung schreibt Mozilla außerdem, dass dies Angreifern ermöglicht, einen Absturz zu verursachen, der wiederum zum Ausführen von Schadcode genutzt werden kann.

Gefunden und gemeldet haben den Fehler wohl verschiedene Sicherheitsforscher unabhängig voneinander. So wird das Auffinden einerseits dem Forscher Samuel Groß aus Googles Project Zero zugeschrieben. Groß arbeitet an einem Fuzzer für Javascript-Engines mit dem Namen Fuzzilli und hat damit schon mehrere Sicherheitslücken in Browser gefunden, allein in diesem Jahr bereits vier in der Javascript-Engine Ionmonkey des Firefox-Browsers. Zusätzlich dazu verweist Mozilla für die Lücke auch auf das Security-Team der Kryptowährungsbörse Coinbase. Möglicherweise wurde der Fehler bei Nutzern der Plattform aktiv ausgenutzt.

Weitere Details zu der Sicherheitslücke stehen zwar noch nicht bereit, es ist aber davon auszugehen, dass die Erklärungen und Diskussionen zu dem Bug in den Bugtrackern sowohl von Mozilla als auch von Googles Project Zero veröffentlicht werden, sobald der Großteil der Nutzer die verfügbaren Updates eingespielt hat.



Anzeige
Hardware-Angebote
  1. 529,00€
  2. täglich neue Deals bei Alternate.de

mieze1 19. Jun 2019 / Themenstart

Viele Seiten laden Unmengen an externem JavaScript von irgendwelchen Werbe- und...

Kommentieren


Folgen Sie uns
       


Zenbook Pro Duo - Hands on

Braucht man das? Gut aussehen tut das Zenbook Pro Duo jedenfalls.

Zenbook Pro Duo - Hands on Video aufrufen
Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Maps Duckduckgo mit Kartendienst von Apple
  2. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
  3. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

    •  /