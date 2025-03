Mozilla hat ein außerplanmäßiges Sicherheitsupdate für Firefox veröffentlicht. Es schließt eine als kritisch eingestufte Sicherheitslücke. Den Entwicklern zufolge erlaubt sie einen sogenannten Sandbox Escape, also das Ausführen von Schadcode außerhalb des Browsers. Betroffen ist allerdings ausschließlich Firefox für Windows.

Der Fehler steckt in allen unterstützten Versionen des Mozilla Browsers: Firefox 136, Firefox ESR 115 und Firefox ESR 128. „Angreifer konnten den übergeordneten Prozess so beeinflussen, dass er Handles an unprivilegierte untergeordnete Prozesse weitergab, was zu einer Überwindung der Sandbox führte“, heißt es im Security Bulletin zu CVE-2025-2857.

Mozilla zufolge wurde die Schwachstelle von mehreren Firefox-Entwicklern gefunden, nachdem sie sich offenbar mit der jüngsten Zero-Day-Lücke in Chrome beschäftigt hatten. Sie entdeckten „ein ähnliches Verhalten in unserem IPC-Code“. Die ursprüngliche Anfälligkeit in Chrome betraf ebenfalls nur Windows-Systeme und wurde vor Veröffentlichung eines Patches bereits aktiv von Hackern für zielgerichtete Angriffe benutzt.

Firefox-Nutzer sollten nun möglichst zeitnah auf die fehlerbereinigte Version 136.0.4 umsteigen. Anwendern eines Extended Service Release (ESR) stehen die neuen Version 115.21.1 oder 128.8.1 zur Verfügung. Der Download erfolgt automatisch über die Update-Funktion des Browsers. Über den Punkt „Über Firefox“ im Hilfe-Menü des Browsers lässt sich die Aktualisierung auch manuell anstoßen. Zum Abschluss der Installation ist ein Neustart von Firefox erforderlich.