Firefox von Zero-Day-Schwachstellen betroffen [Update]

Firefox 67.0.4 schließt die Zero-Day-Schwachtstelle CVE-2019-11708. Wie die kürzlich geschlosssene Lücke CVE-2019-11707 wird sie bereits aktiv ausgenutzt.

[Update] Inzwischen hat Mozilla ein zweite Aktualisierung nachgeschoben, sodass Firefox nun in Version 67.0.4 vorliegt (ESR: 60.7.2). Mozilla schreibt zu der entdeckten Zero-Day-Schwachstelle CVE-2019-11708: „Unzureichende Überprüfung von Parametern, die mit der Prompt:Open IPC-Nachricht zwischen Tochter- und Elternprozessen übergeben wird und dazu führen kann, dass der nicht gesandboxte Elternprozess Webinhalte öffnet, die von einem kompromittierten Tochterprozess ausgewählt wurden.“ Wie schon die Lücke CVE CVE-2019-11707 wurde die Schwachstellen für Angriff auf Kryptowährungs-Nutzer verwendet.

Zero-Day-Schwachstelle CVE-2019-11707 (19.6.2019)

Das Mozilla-Team hat Firefox 67.0.3 und die ESR-Version 60.7.1 veröffentlicht, um eine kritische Zero-Day-Schwachstelle zu beheben. Diese wird bereits aktiv ausgenutzt.

„Bei der Manipulation von JavaScript-Objekten kann es aufgrund von Problemen in Array.pop zu einer Verwechslungsgefahr kommen. Dies kann zu einem ausnutzbaren Absturz führen. Wir haben Angriffe registriert, die diesen Fehler missbrauchen.“, schreiben die Mozilla-Entwickler in einem Sicherheitshinweis.

Samuel Groß, ein Sicherheitsforscher im Google Project Zero Sicherheitsteam, und das Coinbase Security Team haben die Zero-Day-Schwachstelle mit der Kennung CVE-2019-11707 entdeckt.

Firefox 67: Zero-Day-Schwachstelle (Screenshot: ZDNet.de)

Außer der auf der Mozilla-Website veröffentlichten Kurzbeschreibung gibt es keine weiteren Details zu dieser Sicherheitslücke oder den laufenden Angriffen. Basierend darauf, wer die Sicherheitslücke gemeldet hat, darf man davon ausgehen, dass die Sicherheitslücke bei Angriffen auf Kryptowährungseigentümer ausgenutzt wurde.

Firefox Zero-Day-Schwachstellen sind recht selten. Das letzte Mal, als das Mozilla-Team einen Firefox-Zero-Day patchte, war im Dezember 2016. Durch die Lücke konnten Tor-Nutzer ausspioniert werden.

Der Browser-Hersteller Google hat im März dieses Jahres einen Zero-Day in seinem Browser gepatcht. Google beschrieb die Schwachstelle als Fehler in der Speicherverwaltung von Chromes FileReader – also einer Web-API, die in allen wichtigen Browsern enthalten ist und dafür sorgt, dass Web-Apps die Inhalte von Dateien auf dem Rechner des Nutzers lesen können.

Themenseiten: Browser, Mozilla

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Firefox von Zero-Day-Schwachstellen betroffen [Update]

Kommentar hinzufügen
  • Am 19. Juni 2019 um 13:40 von Gregor Hein

    Super und schon wieder ein FF Update. Wann lassen die Cracks endlich mal die Spielereien an dem Browser sein und prüfen erstmal eine neue Version auf Herz und Nieren. FF wurde mal neu aufgelegt mit dem Zweck die unzähligen Updates der Vergangenheit nicht mehr zu haben und nun? Bereits das 3. nachfolge Update der 67 Version, nur weil irgendwelche Lücken bislang übersehen etc usw. wurden.

    Ich denke ich sehe mich mal bei Opera oder Vivaldi um. wenn die ebenso ausreichende Addons für mich haben, dann werde ich wohl auch mal den guten alten FF in die ewigen Jagdgründe schicken. Irgendwann ist die Zeit halt abgelaufen, Siehe IE, Netscape, Seamonkey, AltaVista und was es alles mal schönes gab. Seit FEBE nicht mehr auf den neuen FF Systemen funktionieren kann, ist der beste Grund für mich bei diesem Browser zu bleiben auch nicht mehr gegeben. Hätte man FEBE in den FF integriert, wäre es etwas anderes, aber das schafft FF auch nicht.

  • Am 21. Juni 2019 um 13:37 von C

    Aktuell gibt es wohl 2 Zero-Days beim FF. Ein schnelles Update ist gewährleistet. Was ist hieran zu kritisieren?
    Mir ist ein sicherer Browser lieber als ein unsicherer.

    Dass SW heute nicht mehr gründlich getested wird (egal ob OSS oder Closed-Source) ist doch lange bekannt (Bananen-SW, reift beim Kunden).

    Lamborghini (Neu-Wagen) haben wollen – und zwar zu NULL EURO. Jawohl ja!

  • Am 22. Juni 2019 um 16:57 von tom

    Die Kritik kann ich nicht nachvollziehen. Es soll kostenlos sein und trotzdem wird gemeckert. Für den User ist das Update Prozedere lästig, aber Mozilla hat immerhin schnell reagiert. Sollen wir zukünftig nur noch Produkte aus dem Hause Google nutzen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *