Mozilla schließt Sicherheitslücke aus Hacking-Wettbewerb in Firefox
Es gibt Sicherheitsupdates für die Webbrowser Firefox, Firefox ESR und Tor. Die Updates schließen zum Teil kritische Lücken.
Mozilla schließt eine kritische Sicherheitslücke in Firefox und Firefox ESR, die ein Teilnehmer des Hackerwettbewerbs Pwn2Own live ausgenutzt hat. Dabei handelt es sich um einen out-of-bounds-Speicherfehler, über den ein Angreifer Schadcode auf Systeme schieben und ausführen könnte.
Die Schwachstelle findet sich darin, wie die Webbrowser Vorbis-Audiodateien über die Libvorbis-API verarbeiten. Der gleiche Fehler soll auch in Libtremor klaffen. Diese Bibliothek kommt in der Firefox-App auf Android- und ARM-Plattformen anstatt Libvorbis zum Einsatz. Übergriffe sollen aus der Ferne ohne Authentifizierung möglich sein. In Firefox 59.0.1 sind die Lücken geschlossen.
Firefox ESR und Tor Browser
In Firefox ESR klaffen noch weitere Schwachstellen. Nutzen Angreifer diese aus, können sie den Webbrowser zum Absturz bringen oder sogar Schadcode ausführen können. Firefox ESR 52.7.2 ist abgesichert.
Auch die Entwickler des anonymisierenden Tor Browser haben ihre Software sicherer gemacht, indem sie in der aktuellen Version 7.5.2 auf Firefox ESR 52.7.2 setzen. Das ist auch die einzige Neuerung in der aktuellen Tor-Ausgabe. (des)
