Mozilla reagiert mit der Veröffentlichung von Firefox 67.0.3 und Firefox ESR 60.7.1 auf eine bereits aktiv ausgenutzte Zero-Day-Sicherheitslücke. Die als kritisch bezeichnete Lücke, die unter CVE-2019-11707 katalogisiert ist, wurde von Sicherheitsforscher Samuel Groß, der für Coinbase Security arbeitet, im Rahmen von Googles Project Zero entdeckt.
Type Confusion Vulnerability
Es handelt sich dabei um eine sogenannte Type-Confusion-Verwundbarkeit. Mozilla hält sich sehr bedeckt in seiner Meldung zu dieser Sicherheitslücke. Es wird lediglich klar, dass die Lücke über einen Fehler in der JavaScript-Funktion Array.pop ausgenutzt werden kann und dass dies bei ungepatchten Installationen von Firefox 67 bereits aktiv geschieht.
Bei der Manipulation von JavaScript-Objekten kann es dabei zu einer Verwechslung kommen, die zu einem ausnutzbaren Absturz führen kann. Da Entdecker Groß im Bereich Cryptocurrencies arbeitet, darf vermutet werden, dass die Lücke in diesem Bereich für Angriffe ausgenutzt wird.
Selten Zero-Days in Browsern
Zero-Days in Browsern sind relativ selten, wie ZDNet berichtet. Der letzte Firefox-Zero-Day-Patch stammt demnach vom Dezember 2016, als eine Sicherheitslücke ausgenutzt wurde, um die Anonymität von Benutzern des Tor-Browsers aufzuheben, der Firefox als Grundlage nutzt. Bei Google wurde im März dieses Jahres eine Zero-Day-Lücke geschlossen, die zusammen mit einer Zero-Day-Lücke gegen Windows 7 in komplexen Angriffsszenarien genutzt wurde.
Anwender von Firefox 67 und Firefox ESR 60, die keine automatischen Updates erhalten, sind dringend angehalten, ihren Browser auf den neuesten Stand zu bringen. Mozilla gebührt ein Lob für die konsequente Art und Weise, die Nutzung von Firefox für uns alle sicher zu gestalten. desgleichen gilt auch für Google in Bezug auf den Browser Chrome.
Schreibe einen Kommentar