Bei Firefox brennt's: Zwei kritische Zero-Day-Sicherheitslücken entdeckt
Im Webbrowser Firefox stecken zwei kritische Lücken, die bereits von Angreifern ausgenutzt werden. Ein Update steht bereit und sollte sofort installiert werden.
Die Mozilla Foundation weist auf zwei als 'kritisch' eingestufte Sicherheitslücken in den aktuellen Versionen ihres Webbrowsers Firefox hin. Die beiden Schwachstellen gehören zum sogenannten 'use-after-free'-Typ und können dazu genutzt werden, untergeschobenen Code eines Angreifers im Browser auf dem System des Benutzers auszuführen.
In der Mitteilung heißt es, man beobachte bereits Angriffe auf Firefox, die diese Lücken ausnutzen – deshalb sollten Anwender schnellstmöglich ein Update einspielen. Die beiden Lücken erhalten die CVE-Nummern 2020-6819 und 2020-6820. In Version 74.0.1 des aktuellen Firefox-Browsers beziehungsweise in Version 68.6.1 des ESR-Zweigs von Firefox sind die Schwachstellen abgedichtet (in allen Betriebssystemen: Windows, macOS und Linux).
Gemeldet hatten die Lücken Francisco Alonso von revskills und Javier Marcos von JMPSec. Sie betreffen mögliche Race Conditions bei Nutzung des nsDocShell-Destruktors und beim Umgang mit einem ReadableStream. Auf Twitter weist Alonso darauf hin, dass womöglich auch andere Browser betroffen sind. Derzeit gibt es noch keine weitergehenden Details zu den Schwachstellen, sie sollen aber demnächst folgen. Bereits im Januar dieses Jahres gab es eine kritische Lücke in Firefox.
[UPDATE, 06.04.2020 08:40]
Mittlerweile ist auch die abgesicherte Version des annonymisierenden Tor Browser 9.0.8 erschienen. Dieser baut auf den abgsicherten Firefox ESR 68.6.1. Wie einem Blog-Beitrag zu entnehmen ist, haben die Entwicker neben dem gelösten Sicherheitsproblem noch zwei Bugs aus der Welt geschafft. (tiw)
