Im Webbrowser Firefox klafft eine Sicherheitslücke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Browser-Versionen stopfen das Sicherheitsleck.
Anzeige
Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.
Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Thunderbird scheint nicht betroffen zu sein, zumindest erwähnt Mozilla das Mailprogramm nicht.
Der Versionsdialog von Firefox findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg über "Hilfe" unter "Über Firefox".
Der Versionsdialog von Firefox sucht und installiert die Aktualisierung und bietet dann an, den Browser neu zu starten, damit die Korrekturen auch aktiv werden.
(Bild: Screenshot / dmk)
Da die Schwachstelle bereits angegriffen wird und als kritisch gilt, sollten Firefox-Nutzerinnen und Nutzer sowie Admins zügig überprüfen, ob die neue Softwareversion bereits installiert ist.
Anzeige
Die angeblich datenschutzfreundliche Werbungsausspielung mittels "Privacy-Preserving Attribution" (PPA) habe Mozilla mit dem Update auf Firefox 128 automatisch aktiviert, ohne Rückfragen. Noyb hat dagegen Beschwerde bei der österreichischen Datenschutzbehörde eingelegt.
(