Nur einen Tag nach der Veröffentlichung der Firefox-Version 72.0 schiebt Mozilla ein dringliches Sicherheits-Update nach. In Firefox bis einschließlich Version 72.0 steckt eine Schwachstelle, die Mozilla als kritisch einstuft. Laut Mozilla sind bereits gezielte Angriffe im Web bekannt, bei denen diese Lücke ausgenutzt wird. Im Sicherheitsbericht MFSA2020-03 nennt Mozilla das chinesische Sicherheitsunternehmen Qihoo 360 als Entdecker der Sicherheitslücke. Die Schwachstelle mit der Kennung CVE-2019-17026 steckt im JavaScript JIT-Compiler (Just in time) IonMonkey. Durch den Fehler kann eine Typverwechslung provoziert werden, was zu Speicherzugriffen in unzulässigen Adressbereichen führen kann. In der Folge kann eingeschleuster Code ausgeführt werden.
Über die gemeldeten Angriffe sind bislang keine Details bekannt. Da Mozilla von gezielten Angriffen („targeted attacks in the wild“) spricht, sind offenbar zunächst nur wenige ausgewählte Ziel betroffen. Weil die Lücke nun als ausnutzbar bekannt ist, werden wohl bald auch andere auf den Zug aufspringen und mittels präparierter Web-Seiten breiter angelegte Attacken starten. Mozilla hat die Sicherheitslücke in Firefox 72.0.1 sowie in Firefox ESR 68.4.1 geschlossen. Sie sollten das Update auf die neue Version umgehend einspielen. Die Entwickler des Tor Projekts haben angekündigt, für den anfälligen, da auf Firefox ESR 68.4.0 basierenden Tor Browser 9.0.3 schnellstmöglich ein Update auf Version 9.0.4 bereitstellen zu wollen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.