Categories: Browser

Firefox von Zero-Day-Schwachstellen betroffen [Update]

[Update] Inzwischen hat Mozilla ein zweite Aktualisierung nachgeschoben, sodass Firefox nun in Version 67.0.4 vorliegt (ESR: 60.7.2). Mozilla schreibt zu der entdeckten Zero-Day-Schwachstelle CVE-2019-11708: „Unzureichende Überprüfung von Parametern, die mit der Prompt:Open IPC-Nachricht zwischen Tochter- und Elternprozessen übergeben wird und dazu führen kann, dass der nicht gesandboxte Elternprozess Webinhalte öffnet, die von einem kompromittierten Tochterprozess ausgewählt wurden.“ Wie schon die Lücke CVE CVE-2019-11707 wurde die Schwachstellen für Angriff auf Kryptowährungs-Nutzer verwendet.

Zero-Day-Schwachstelle CVE-2019-11707 (19.6.2019)

Das Mozilla-Team hat Firefox 67.0.3 und die ESR-Version 60.7.1 veröffentlicht, um eine kritische Zero-Day-Schwachstelle zu beheben. Diese wird bereits aktiv ausgenutzt.

„Bei der Manipulation von JavaScript-Objekten kann es aufgrund von Problemen in Array.pop zu einer Verwechslungsgefahr kommen. Dies kann zu einem ausnutzbaren Absturz führen. Wir haben Angriffe registriert, die diesen Fehler missbrauchen.“, schreiben die Mozilla-Entwickler in einem Sicherheitshinweis.

Samuel Groß, ein Sicherheitsforscher im Google Project Zero Sicherheitsteam, und das Coinbase Security Team haben die Zero-Day-Schwachstelle mit der Kennung CVE-2019-11707 entdeckt.

Außer der auf der Mozilla-Website veröffentlichten Kurzbeschreibung gibt es keine weiteren Details zu dieser Sicherheitslücke oder den laufenden Angriffen. Basierend darauf, wer die Sicherheitslücke gemeldet hat, darf man davon ausgehen, dass die Sicherheitslücke bei Angriffen auf Kryptowährungseigentümer ausgenutzt wurde.

Firefox Zero-Day-Schwachstellen sind recht selten. Das letzte Mal, als das Mozilla-Team einen Firefox-Zero-Day patchte, war im Dezember 2016. Durch die Lücke konnten Tor-Nutzer ausspioniert werden.

Der Browser-Hersteller Google hat im März dieses Jahres einen Zero-Day in seinem Browser gepatcht. Google beschrieb die Schwachstelle als Fehler in der Speicherverwaltung von Chromes FileReader – also einer Web-API, die in allen wichtigen Browsern enthalten ist und dafür sorgt, dass Web-Apps die Inhalte von Dateien auf dem Rechner des Nutzers lesen können.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…

14 Stunden ago

Außerplanmäßiges Update schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…

1 Tag ago

Hacker setzen neuartige Infostealer gegen Unternehmen ein

Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…

1 Tag ago

KI-gestützte Betrugserkennung

Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…

2 Tagen ago

Europäischer Smartphonemarkt wächst zehn Prozent im ersten Quartal

Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…

2 Tagen ago

Megawatt-Kühlung für KI

Rittal hat eine neue Kühllösung vorgestellt, die über 1 Megawatt Kühlleistung erbringt und den Weg…

2 Tagen ago