Firefox: Update schließt zwei kritische Zero-Day-Lücken

Mozilla hat ein Sicherheitsupdate für seinen Browser Firefox veröffentlicht. Die Version 74.0.1 schließt zwei Zero-Day-Lücken, die nach Angaben des Unternehmens bereits aktiv von Hackern ausgenutzt werden.

Beide Schwachstellen sind sogenannten Use-after-free-Bugs. Sie erlauben es, Code in den von Firefox genutzten Arbeitsspeicher einzuschleusen und auszuführen. Ein Angreifer ist also unter Umständen in der Lage, Schadcode auf einem Geräte zu starten – die tatsächlichen Folgen sind jedoch vom Schweregrad der Anfälligkeit abhängig.

Allerdings hält Mozilla derzeit noch alle Details zu den Browserfehlern unter Verschluss. Wahrscheinlich kann ein Angreifer jedoch mithilfe einer speziell präparierten Website Nutzer von Firefox angreifen – das leckt die Einstufung beider Lücken als kritisch nahe. Sie bedeutet laut Mozilla, dass ein Angreifer im Rahmen einer normalen Interaktion mit einem Nutzer Software installieren kann.

Entdeckt wurden beide Schwachstellen von Francisco Alonso vom Sicherheitsanbieter JMP Security. Per Twitter teilte er mit, „Es gibt noch viel zu tun und mehr Details zu veröffentlichen (inklusive anderer Browser).“ Ob besagte anderer Browser derzeit ebenfalls das Ziel von Hackerangriffen über die fraglichen Lücken sind, ist unklar.

Für Mozilla ist es bereits das zweite außerplanmäßige Update in diesem Jahr, um eine Zero-Day-Lücke zu beseitigen. Im Januar sollte die Version 72.0.1 verhindern, dass Hacker, die möglicherweise sogar mit staatlicher Unterstützung agierten, Nutzer in China und Japan ausspionieren, wie Qihoo 360 und Japan CERT berichteten.