Zero Day: Mozilla schließt ausgenutzte Sicherheitslücke in Firefox

Firefox-Hersteller Mozilla hat eine kritische Sicherheitslücke in seinem Browser geschlossen, die wohl aktiv ausgenutzt wird. Updates stehen bereit und werden von Mozilla bereits verteilt.

Artikel veröffentlicht am ,
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen.
Mozilla hat eine kritische Sicherheitslücke in Firefox geschlossen. (Bild: Sander von der Wel/Flickr.com/CC-BY-SA 2.0)

Mozilla hat die Notfallupdates für den Firefox-Browser veröffentlicht. Die stabile Firefox-Version 67.0.3 sowie Firefox ESR 60.7.1 schließen demnach eine als kritisch eingestufte Sicherheitslücke in dem freien Browser, die laut Mozilla derzeit von Angreifern aktiv ausgenutzt wird. Nutzer, die diese Updates noch nicht erreicht haben, sollten diese dringend einspielen.

Ursache der Sicherheitslücke (CVE-2019-11707) ist eine sogenannte Type Confusion, die auftreten könne, wenn Javascript-Objekte manipuliert werden. Der eigentliche Fehler tritt demnach in der Methode Array.Pop() auf, die das letzte Element aus einem Array zurückgibt und den Eintrag im Array löscht. In der Sicherheitswarnung schreibt Mozilla außerdem, dass dies Angreifern ermöglicht, einen Absturz zu verursachen, der wiederum zum Ausführen von Schadcode genutzt werden kann.

Gefunden und gemeldet haben den Fehler wohl verschiedene Sicherheitsforscher unabhängig voneinander. So wird das Auffinden einerseits dem Forscher Samuel Groß aus Googles Project Zero zugeschrieben. Groß arbeitet an einem Fuzzer für Javascript-Engines mit dem Namen Fuzzilli und hat damit schon mehrere Sicherheitslücken in Browser gefunden, allein in diesem Jahr bereits vier in der Javascript-Engine Ionmonkey des Firefox-Browsers. Zusätzlich dazu verweist Mozilla für die Lücke auch auf das Security-Team der Kryptowährungsbörse Coinbase. Möglicherweise wurde der Fehler bei Nutzern der Plattform aktiv ausgenutzt.

Weitere Details zu der Sicherheitslücke stehen zwar noch nicht bereit, es ist aber davon auszugehen, dass die Erklärungen und Diskussionen zu dem Bug in den Bugtrackern sowohl von Mozilla als auch von Googles Project Zero veröffentlicht werden, sobald der Großteil der Nutzer die verfügbaren Updates eingespielt hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Entwickler
ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen

Google hat ChatGPT mit Fragen aus seinem Entwickler-Bewerbungsgespräch gefüttert. Die KI könne demnach eine Einsteigerposition erhalten.

Entwickler: ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Windkraft-Ausbauplan: Scholz will vier bis fünf neue Windräder pro Tag
    Windkraft-Ausbauplan
    Scholz will vier bis fünf neue Windräder pro Tag

    Die Energiewende in Deutschland soll durch einen massiven Ausbau der Windkraft-Anlagen vorangetrieben werden. Bundeskanzler Scholz will Tempo machen.

  3. Telekom-Internet-Booster: Hybridzugang der Telekom mit 5G ist verfügbar
    Telekom-Internet-Booster
    Hybridzugang der Telekom mit 5G ist verfügbar

    Die 5G-Antenne der Telekom hängt an einem zehn Meter langen Flachbandkabel. Die zugesagte Datenrate reicht bis 300 MBit/s im Download.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Logitech G915 Lightspeed 219,89€ • ASUS ROG Strix Scope Deluxe 107,89€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate Weekend Sale • MindStar: be quiet! Dark Rock 4 49€, Fastro MS200 2TB 95€ • Mindfactory DAMN-Deals: Grakas & CPUS u. a. AMD Ryzen 7 5700X 175€ • PCGH Cyber Week [Werbung]
    •  /