Mozilla behebt kritische Sicherheitslücken: Firefox-Nutzer sollten sofort updaten
Mozilla hat erfolgreich zwei schwerwiegende Sicherheitslücken im Webbrowser Firefox und eine im Firefox ESR behoben. Die Nutzer werden dringend dazu aufgefordert, die Aktualisierung schnellstmöglich durchzuführen. Im Security-Advisory für Firefox 124.0.1 werden zwei kritische Sicherheitslücken genannt, die in der neuen Version geschlossen wurden.
Die erste Sicherheitslücke ermöglichte es Angreifern, außerhalb der zugewiesenen Speichergrenzen eines Javascript-Objekts zu lesen oder zu schreiben. Dies war durch die Ausnutzung eines Mechanismus namens „Range-based bounds check elimination“ möglich, der zu einer Täuschung führte. Diese Schwachstelle wurde von Mozilla als kritisch eingestuft (CVE-2024-29943).
Die zweite kritische Schwachstelle betrifft ebenfalls Javascript. Angreifer konnten einen Event Handler in ein privilegiertes Objekt einschleusen und beliebigen Javascript-Code im Parent-Prozess mit erweiterten Rechten ausführen. Diese Sicherheitslücke betrifft ausschließlich die Desktop-Versionen von Firefox 124.0 und älter sowie Firefox ESR 115.9 und älter (CVE-2024-29944).
Obwohl es keine konkreten Angriffsszenarien gibt, reicht in der Regel der Besuch präparierter Webseiten aus, um diese Schwachstellen auszunutzen. Die Release-Notes für Firefox 124.0.1 listen ausschließlich die behobenen Sicherheitslücken als einzige Änderungen auf.
Um die Updates zu installieren, können Nutzer den Versionsdialog öffnen, indem sie auf das Symbol mit den drei horizontalen Strichen neben der Adressleiste klicken und dann den Pfad „Hilfe – Über Firefox“ wählen. Es ist wichtig zu beachten, dass diese Schwachstelle nicht in E-Mails ausgenutzt werden kann, da standardmäßig kein Javascript in E-Mails ausgeführt wird.
Die Mozilla-Stiftung hat die Updates für Firefox 124.0, Firefox ESR 115.9 und Thunderbird 115.9 wie geplant am Dienstag veröffentlicht. Dabei wurden mehrere Sicherheitslücken geschlossen, die jedoch als hochriskant eingestuft wurden. Es ist daher dringend ratsam, die Updates schnellstmöglich zu installieren, um sich vor möglichen Angriffen zu schützen.
Schlagwörter: Firefox ESR + Firefox 124.0.1 + CVSS
Wie bewerten Sie den Schreibstil des Artikels?