Firefox für Android kann sich an Schadcode verschlucken
In der Version 51.0.3 haben die Firefox-Entwickler eine kritische Sicherheitslücke geschlossen. Von der Schwachstelle ist ausschließlich die Android-Version betroffen.
(Bild: Screenshot)
Der Webbrowser Firefox für Android ist verwundbar. Davon sollen alle früheren Versionen bedroht sein – in der aktuellen Ausgabe 51.0.3 hat Mozilla die Lücke eigenen Angaben zufolge geschlossen. Die Entwickler stufen die Schwachstelle als kritisch ein. Das CERT Bund teilt diese Einschätzung und sieht das Risiko als "sehr hoch" an. Wer Firefox für Android einsetzt, sollte also zügig die aktualisierte Version installieren.
Das Problem ist das lokale Cache-Verzeichnis des Webbrowsers, für das alle Nutzer (world writable) standardmäßig Schreibrechte haben. Firefox greift dort etwa auf Bibliotheken zurück. Ein Angreifer könnte durch Ausnutzen der Lücke in Verbindung mit einer präparierten App oder einem Tool Bibliotheken gegen eigene mit Schadcode austauschen, die Firefox dann mit seinen System-Rechten ausführt.
So soll es möglich sein, Informationen mitzuschneiden und Schadcode auszuführen. Ein Übergriff soll ohne Authentifizierung aus der Ferne geschehen können. Wie ein Angriff im Detail abläuft, ist derzeit nicht bekannt. (des)
