Firefox jetzt aktualisieren – Zero-Day gefunden!

Mozilla hat einen kritischen Zero-Day-Fehler in den neuesten Point-Releases des Firefox-Webbrowsers behoben. Durch die Sicherheitslücke können Angreifer ihren eigenen Code ausführen, indem sie den Browser mit böswilligem JavaScript ausnutzen, und die Leute greifen bereits Firefox-Benutzer an.

Der Fehler betrifft sowohl Firefox als auch sein Gegenstück für Unternehmen, Extended Support Release (ESR). Nach Mozillas Empfehlung:

A type confusion vulnerability can occur when manipulating JavaScript objects due to issues in Array.pop.

Programmierer verwenden das Array-Objekt von JavaScript, um eine Sammlung von Datenelementen zu erhalten. pop ist ein Befehl, mit dem sie das letzte Element eines Arrays entfernen können.

Eine Sicherheitsanfälligkeit bezüglich Typverwechslung tritt auf, wenn ein Programm den Typ eines Datenelements, an es übergeben wird, nicht überprüft. Es kann beispielsweise davon ausgegangen werden, dass es eine Zahl ist, obwohl es tatsächlich eine Zeichenfolge enthält. Wenn es nicht überprüft wird, kann es das Datenelement falsch behandeln und möglicherweise seinen Code destabilisieren.

In diesem Fall ist der Effekt katastrophal:

This can allow for an exploitable crash. We are aware of targeted attacks in the wild abusing this flaw.

Die Sicherheitsanfälligkeit wurde von Samuel Groß von Google Project Zero entdeckt und hat den Code CVE-2019-11707. Das Department of Homeland Security veröffentlichte auch eine Warnung über den Fehler.

Mozilla hat den Fehler in Firefox Version 67.0.3 und in Firefox ESR Version 60.7.1 behoben. Da die Leute den Fehler bereits ausnutzen, ist es wichtig, dass Sie jetzt auf die neueste Version aktualisieren.

Firefox sucht automatisch nach Updates und installiert sie. Wenn Sie sich jedoch Sorgen machen, können Sie dies manuell erzwingen. Wählen Sie dazu Hilfe und Über Firefox. Dadurch wird erzwungen, nach Updates zu suchen und diese zu installieren. Wenn es fertig ist, starten Sie den Browser neu.

Benutzer des Tor-Browsers (der auf Firefox basiert) sollten auch ihre Browser auf Version 8.5.2 aktualisieren, die das Unternehmen am Mittwoch veröffentlicht hat. Die Android-Version ist jedoch noch nicht verfügbar. Das Tor-Team sagte:

As part of our team is currently traveling to an event, we are unable to access our Android signing token, therefore the Android release is not yet available. We expect to be able to publish the Android release this weekend.

In der Zwischenzeit sollten Android-Nutzer safer oder safest verwenden, so das Tor-Team. Wählen Sie dazu im Menü rechts neben der URL-Leiste die Option Sicherheitseinstellungen.