2479554

Mozilla stopft 0-Day-Lücke mit Firefox 72.0.1

09.01.2020 | 08:15 Uhr | Frank Ziemann

Das Update auf Firefox 72.0.1 beseitigt eine als kritisch eingestufte Sicherheitslücke, die bereits für Angriffe ausgenutzt wird. Auch Firefox ESR und der darauf basierende Tor Browser erhalten entsprechende Updates.

Nur einen Tag nach der Veröffentlichung der Firefox-Version 72.0 schiebt Mozilla ein dringliches Sicherheits-Update nach. In Firefox bis einschließlich Version 72.0 steckt eine Schwachstelle, die Mozilla als kritisch einstuft. Laut Mozilla sind bereits gezielte Angriffe im Web bekannt, bei denen diese Lücke ausgenutzt wird.

Im Sicherheitsbericht MFSA2020-03 nennt Mozilla das chinesische Sicherheitsunternehmen Qihoo 360 als Entdecker der Sicherheitslücke. Die Schwachstelle mit der Kennung CVE-2019-17026 steckt im JavaScript JIT-Compiler (Just in time) IonMonkey. Durch den Fehler kann eine Typverwechslung provoziert werden, was zu Speicherzugriffen in unzulässigen Adressbereichen führen kann. In der Folge kann eingeschleuster Code ausgeführt werden.

Mozilla Sicherheitsbericht
Vergrößern Mozilla Sicherheitsbericht

Über die gemeldeten Angriffe sind bislang keine Details bekannt. Da Mozilla von gezielten Angriffen („targeted attacks in the wild“) spricht, sind offenbar zunächst nur wenige ausgewählte Ziel betroffen. Weil die Lücke nun als ausnutzbar bekannt ist, werden wohl bald auch andere auf den Zug aufspringen und mittels präparierter Web-Seiten breiter angelegte Attacken starten.

Mozilla hat die Sicherheitslücke in Firefox 72.0.1 sowie in Firefox ESR 68.4.1 geschlossen. Sie sollten das Update auf die neue Version umgehend einspielen. Die Entwickler des Tor Projekts haben angekündigt, für den anfälligen, da auf Firefox ESR 68.4.0 basierenden Tor Browser 9.0.3 schnellstmöglich ein Update auf Version 9.0.4 bereitstellen zu wollen.


PC-WELT Marktplatz

2479554