Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Firefox-Notfall-Update stopft angegriffenes Sicherheitsleck

465 Aufrufe

Im Webbrowser Firefox klafft eine Sicherheitslücke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Browser-Versionen stopfen das Sicherheitsleck.

Anzeige

Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.

Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Thunderbird scheint nicht betroffen zu sein, zumindest erwähnt Mozilla das Mailprogramm nicht.

Der Versionsdialog von Firefox findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg über "Hilfe" unter "Über Firefox".

Der Versionsdialog von Firefox Der Versionsdialog von Firefox

Der Versionsdialog von Firefox sucht und installiert die Aktualisierung und bietet dann an, den Browser neu zu starten, damit die Korrekturen auch aktiv werden.

(Bild: Screenshot / dmk)

Da die Schwachstelle bereits angegriffen wird und als kritisch gilt, sollten Firefox-Nutzerinnen und Nutzer sowie Admins zügig überprüfen, ob die neue Softwareversion bereits installiert ist.

Anzeige

Die angeblich datenschutzfreundliche Werbungsausspielung mittels "Privacy-Preserving Attribution" (PPA) habe Mozilla mit dem Update auf Firefox 128 automatisch aktiviert, ohne Rückfragen. Noyb hat dagegen Beschwerde bei der österreichischen Datenschutzbehörde eingelegt.

Mehr von heise Security

Mehr von heise Security

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

macOS 15.0.1: So fixt Apple Probleme mit Sicherhei...
Internet Archive unter Beschuss: Über 30 Millionen...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Freitag, 31. Oktober 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung