Neue Sicherheitslücken in Firefox 16 und Chrome 22 entdeckt

Neue als „kritisch“ eingestufte Sicherheitslücken bedrohen Nutzer von Firefox 16 und Chrome 22. Während Google nur wenige Stunden nach der Entdeckung einer Schwachstelle in der Browser-Engine WebKit ein Update veröffentlicht hat, zog Mozilla den erst einen Tag zuvor freigegebenen Firefox 16 vorübergehend zurück.

„Die Anfälligkeit erlaubt es einer manipulierten Website möglicherweise, die von einem Nutzer besuchten Sites zu ermitteln oder auf die URL oder die URL-Parameter zuzugreifen“, schreibt Michael Coates, Direktor für Security Assurance bei Mozilla, in einem Blogeintrag. „Zurzeit gibt es keine Anzeichen dafür, dass die Schwachstelle schon ausgenutzt wird.“

Mozilla arbeitet nach eigenen Angaben schon an einem Fix. Er soll heute im Lauf des Tages bereitgestellt werden. In der Zwischenzeit empfiehlt das Unternehmen, ein Downgrade auf Firefox 15.0.1 durchzuführen, das von der Lücke nicht betroffen sei, so Coates. „Alternativ können Nutzer auch warten, bis unsere Patches freigegeben und automatisch installiert werden.“

Das Loch in Chrome 22 wurde gestern von einem Hacker, der sich selbst „Pinkie Pie“ nennt, im Rahmen des von Google ausgeschriebenen Wettbewerbs Pwnium 2 demonstriert. Für die Verknüpfung von zwei Anfälligkeiten zu einem Exploit, der die Sandbox von Chrome umgeht und das Einschleusen sowie Ausführen von Schadcode ermöglicht, erhält er von Google eine Belohnung von 60.000 Dollar.

Einem Eintrag im Chromium-Blog zufolge tritt der erste Fehler im Rendering-Prozess von WebKit bei der Verarbeitung von SVG-Daten (Scalable Vector Graphic) auf. Der zweite Bug steckt im IPC-Layer (Inter-process Communication) und ermöglicht es, die Sandbox zu verlassen. „Da dieser Exploit vollständig von Fehlern in Chrome abhängig ist und eine Codeausführung erreicht, hat er sich als ‚vollständiger Chrome Exploit‘ für die höchste Belohnung qualifiziert – ein Preisgeld von 60.000 Dollar und ein Chromebook“, schreibt Software Engineer Chris Evans.

„Eine der effektivsten Schutzeinrichtungen von Chrome ist unsere kurze Antwortzeit und die Möglichkeit, Nutzer schnell mit kritischen Patches zu versorgen“, heißt es weiter in dem Blogeintrag. „Diese Bugs waren keine Ausnahme. Wir haben den Exploit sofort nach der Einreichung analysiert und weniger als zehn Stunden nach dem Ende von Pwnium 2 unsere Nutzer mit einer frisch gepatchten Version von Chrome auf den neusten Stand gebracht.“

Google hatte erst am Montag ein Sicherheitsupdate für Chrome 22 veröffentlicht. Es schloss ebenfalls eine als „kritisch“ eingestufte Lücke, die es einem Angreifer erlaubt, Schadcode außerhalb der Sandbox auszuführen. Der Entdecker der Schwachstelle, Atte Kettunen von der University of Oulu in Finnland, erhielt dafür jedoch nur eine Prämie von 3133,70 Dollar.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

13 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago