2661680

Mozilla stopft Pwn2Own-Lücken in Firefox und Thunderbird

23.05.2022 | 09:17 Uhr | Frank Ziemann

Beim Hacker-Wettbewerb Pwn2Own ist auch Firefox gehackt worden. Mozilla hat flott reagiert und Sicherheits-Updates bereitgestellt, um die aufgedeckten Schwachstellen zu beheben, auch für Firefox ESR und Thunderbird.

Mozilla hat kurz vor dem Wochenende Sicherheits-Updates für Firefox veröffentlicht. In Firefox 100.0.2 sowie Firefox ESR 91.9.1 haben die Mozilla-Entwickler zwei Schwachstellen beseitigt, die zwei Tage zuvor beim Hacker-Wettbewerb Pwn2Own demonstriert worden waren. Auch in Firefox für Android 100.3 sowie in der neuen Thunderbird -Version 91.9.1 sind die Lücken gestopft.

Manfred Paul ( @_manfp ) vom Bonner RedRocket Club hat sich am ersten Pwn2Own-Tag am 18. Mai 100.000 US-Dollar Preisgeld für seinen Firefox-Hack verdient, ohne vor Ort in Vancouver zu sein. Er hat zwei bis dahin nicht bekannte Sicherheitslücken im Mozilla-Browser ausgenutzt, um letztlich aus der Browser-Sandbox auszubrechen und Javascript-Code in einem privilegierten Prozess auszuführen. Das Ganze hat keine zehn Sekunden gedauert.

▶Die neuesten Sicherheits-Updates

Mozilla-Vertreter vor Ort in Vancouver haben vom Veranstalter, Trend Micro ZDI, direkt danach alle Details zu dem Schwachstellen erhalten. Auf dieser Basis haben die Mozilla-Entwickler in knapp zwei Tagen die Fehler ausgebügelt und Updates bereitgestellt, um die Sicherheitslücken zu schließen. Mozilla stuft die Lücken CVE-2022-1802 und CVE-2022-1529 als kritisch ein. Ein entsprechendes Update für den auf Firefox ESR basierenden Tor Browser steht noch aus.

In gut einer Woche, am 31. Mai, will Mozilla Firefox 101 sowie Firefox ESR 91.10 veröffentlichen.


PC-WELT Marktplatz

2661680