Categories: Browser

Firefox von Zero-Day-Schwachstellen betroffen [Update]

[Update] Inzwischen hat Mozilla ein zweite Aktualisierung nachgeschoben, sodass Firefox nun in Version 67.0.4 vorliegt (ESR: 60.7.2). Mozilla schreibt zu der entdeckten Zero-Day-Schwachstelle CVE-2019-11708: „Unzureichende Überprüfung von Parametern, die mit der Prompt:Open IPC-Nachricht zwischen Tochter- und Elternprozessen übergeben wird und dazu führen kann, dass der nicht gesandboxte Elternprozess Webinhalte öffnet, die von einem kompromittierten Tochterprozess ausgewählt wurden.“ Wie schon die Lücke CVE CVE-2019-11707 wurde die Schwachstellen für Angriff auf Kryptowährungs-Nutzer verwendet.

Zero-Day-Schwachstelle CVE-2019-11707 (19.6.2019)

Das Mozilla-Team hat Firefox 67.0.3 und die ESR-Version 60.7.1 veröffentlicht, um eine kritische Zero-Day-Schwachstelle zu beheben. Diese wird bereits aktiv ausgenutzt.

„Bei der Manipulation von JavaScript-Objekten kann es aufgrund von Problemen in Array.pop zu einer Verwechslungsgefahr kommen. Dies kann zu einem ausnutzbaren Absturz führen. Wir haben Angriffe registriert, die diesen Fehler missbrauchen.“, schreiben die Mozilla-Entwickler in einem Sicherheitshinweis.

Samuel Groß, ein Sicherheitsforscher im Google Project Zero Sicherheitsteam, und das Coinbase Security Team haben die Zero-Day-Schwachstelle mit der Kennung CVE-2019-11707 entdeckt.

Außer der auf der Mozilla-Website veröffentlichten Kurzbeschreibung gibt es keine weiteren Details zu dieser Sicherheitslücke oder den laufenden Angriffen. Basierend darauf, wer die Sicherheitslücke gemeldet hat, darf man davon ausgehen, dass die Sicherheitslücke bei Angriffen auf Kryptowährungseigentümer ausgenutzt wurde.

Firefox Zero-Day-Schwachstellen sind recht selten. Das letzte Mal, als das Mozilla-Team einen Firefox-Zero-Day patchte, war im Dezember 2016. Durch die Lücke konnten Tor-Nutzer ausspioniert werden.

Der Browser-Hersteller Google hat im März dieses Jahres einen Zero-Day in seinem Browser gepatcht. Google beschrieb die Schwachstelle als Fehler in der Speicherverwaltung von Chromes FileReader – also einer Web-API, die in allen wichtigen Browsern enthalten ist und dafür sorgt, dass Web-Apps die Inhalte von Dateien auf dem Rechner des Nutzers lesen können.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Cloudgeschäft beschert Microsoft Rekordquartal

Umsatz und Gewinn steigen um 12 beziehungsweise 49 Prozent. Die Cloud-Sparte meldet erstmals höhere Einnahmen als die Windows-Sparte. Der Kurs…

4 Stunden ago

Microsoft registriert fast 10.000 staatliche Hackerangriffe auf seine Nutzer

Die Opfer sind mehrheitlich Firmenkunden. Rund 16 Prozent der Attacken richten sich aber auch gegen Verbraucher. Die Urheber wiederum stammen…

6 Stunden ago

242 Millionen Euro: EU verhängt weitere Kartellstrafe gegen Qualcomm

Es geht erneut um einen Missbrauch einer marktbeherrschenden Stellung. Diesmal soll Qualcomm UTMS-Chipsätze zu Verdrängungspreisen verkauft haben. Das Bußgeld entspricht…

7 Stunden ago

Auch Firefox stuft künftig HTTP-Websites als unsicher ein

Ab Werk aktiv ist die Funktion in Firefox 70. Aktuell ist die Funktion im Nightly Channel erhältlich. Aber auch Firefox…

23 Stunden ago

Smartphones mit 12 GByte RAM: Samsung kündigt neue Low-Power-Speichermodule an

Sie ermöglichen Übertragungsraten von 5500 Mbit/s. 44 GByte Daten übertragen sie somit innerhalb einer Sekunde. Samsung fertigt die Chips mit…

1 Tag ago

Windows, iOS und macOS: Bluetooth-Bug ermöglicht Nutzer-Tracking

Forscher umgehen die Anonymisierung von Bluetooth-MAC-Adressen. Sie entwickeln einen Algorithmus, der ausschließlich unverschlüsselten und öffentlichen Datenverkehr von Bluetooth-Geräten verarbeitet. Googles…

1 Tag ago