NEWS

Mozilla Firefox

Erneut schwere Sicherheitslücke gefunden

Portrait des Authors


Erneut schwere Sicherheitslücke gefunden
3

Werbung

Wie Hardwareluxx bereits am vergangenen Mittwoch berichtete, wurde mit dem Firefox Update auf die Version 67.0.3 eine schwerwiegende Sicherheitslücke geschlossen. Jetzt ist jedoch eine weitere Sicherheitslücke bekannt geworden und die gemeinnützige Organisation Mozilla empfiehlt erneut dringend, den Firefox-Browser auf die aktuelle Version 67.0.4 upzudaten.

Die Ursache der genannten Schwachstelle ist eine unzureichende Parameterüberprüfung, die mit der Prompt:Open-IPC-Nachricht zwischen Tochter- und Elternprozessen übergeben wird. Dies kann dazu führen, dass der nicht gesandboxte Elternprozess Webinhalte öffnet, die von einem kompromittierten Tochterprozess ausgewählt wurden. In Kombination mit zusätzlichen Schwachstellen kann dies dazu führen, dass beliebiger Code auf dem Computer des Benutzers ausgeführt wird.

Zudem veröffentlichte Mozilla den gepatchten Firefox ESR in der Version 60.7.2. Somit bleibt aktuell abzuwarten, ob noch weitere kritische Sicherheitslücken gefunden werden, die Mozilla beziehungsweise Firefox dazu zwingen sollten, erneut ein sofortiges Update zu veröffentlichen. Allerdings stellt der aktuelle Vorfall eine Ausnahme dar und es ist nicht die Regel, in solch kurzen Abständen gleich zwei wichtige Updates zu veröffentlichen. Wann die unzureichende Parameterüberprüfung bemerkt wurde ist aktuell nicht bekannt, der Bug-Report mit der Nummer 1559858 lässt sich aufgrund von fehlenden Zugriffsrechten nicht aufrufen. Erwähnter Bug wurde erneut vom Coinbase-Security-Team gemeldet. Bereits beim letzten Bug, der eine Manipulation von JavaScript-Objekten ermöglichte, war neben Samuel Groß von Google Project Zero auch das Coinbase-Security-Team beteiligt. Somit ist aktuell davon auszugehen, dass beide kritischen Sicherheitslücken in relativ kurzem Abstand gemeldet wurden. Warum sich Mozilla allerdings nicht dafür entschied, beide Schwachstellen mit einem Update zu schließen, ist bis dato unbekannt.