Mit dem Update auf die neue Firefox-Version 115.0.2 haben die Mozilla-Entwickler eine Sicherheitslücke im Browser geschlossen. Das Update bekämpft zudem einen durch Adware verursachten Browser-Absturz. Auch Firefox ESR 115.0.2 ist via Update verfügbar. Firefox ESR 102.13.0 ist offenbar nicht betroffen.
In Firefox 115.0.2 haben die Entwickler die als mittleres Risiko eingestufte Schwachstelle CVE-2023-3600 behoben. Es handelt sich laut Sicherheitsbericht um eine Use-after-free-Lücke in Workers (Hintergrundskripte), die zum Browser-Absturz führen kann. Ein Angreifer könnte das ausnutzen, um Code einzuschleusen und auszuführen.
▶Die neuesten Sicherheits-Updates
Nachdem bereits das Update auf Firefox 115.0.1 den Browser-Absturz durch eine von Antivirus-Software injizierte DLL (Programmbibliothek) behandelt hat, geht es bei v115.0.2 um einen durch Malware verursachten Absturz. Offenbar handelt es sich um die Adware Quoteex, die eine DLL in den Firefox-Prozess einschleust und so zum Absturz führt. Die DLL kann unterschiedliche Dateinamen tragen, zum Beispiel Flex-Find.dll, Biofan.dll oder Kontop.dll. Zumindest die beiden Letztgenannten finden sich gegebenenfalls im Verzeichnis C:\ProgramData\Quoteex.
Das technische Problem dahinter scheint das gleiche zu sein wie bei Kingsoft Antivirus. Die injizierte DLL lädt eine Firefox-eigene DLL (xul.dll) in den Arbeitsspeicher, um sie nach interessanten Mustern zu untersuchen. Es dürfte sich zwar jeweils um verschiedene Muster handeln, doch der Effekt bleibt gleich: Landet die Suche bei einer bestimmten Sektion, für die keine Leserechte bestehen, stürzt der Browser ab. Diesmal sind Rechner mit Windows 10 und 11 betroffen. Die Adware-DLL soll nun blockiert werden.
Ferner haben die Mozilla-Entwickler die Ursache eines Browser-Absturzes unter Windows 7 abgestellt. Dieser geht auf die DLL-Blockliste zurück, von der gerade die Rede war. Darstellungsfehler auf bestimmten Websites sowie ein Problem beim Abspielen von MP3-Dateien haben die Programmierer ebenfalls beseitigt.
Am 1. August will Mozilla Firefox 116 sowie Firefox ESR 102.14 und 115.1 veröffentlichen, der nächste Streich soll vier Wochen später folgen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.