[Update] Inzwischen hat Mozilla ein zweite Aktualisierung nachgeschoben, sodass Firefox nun in Version 67.0.4 vorliegt (ESR: 60.7.2). Mozilla schreibt zu der entdeckten Zero-Day-Schwachstelle CVE-2019-11708: „Unzureichende Überprüfung von Parametern, die mit der Prompt:Open IPC-Nachricht zwischen Tochter- und Elternprozessen übergeben wird und dazu führen kann, dass der nicht gesandboxte Elternprozess Webinhalte öffnet, die von einem kompromittierten Tochterprozess ausgewählt wurden.“ Wie schon die Lücke CVE CVE-2019-11707 wurde die Schwachstellen für Angriff auf Kryptowährungs-Nutzer verwendet.
Das Mozilla-Team hat Firefox 67.0.3 und die ESR-Version 60.7.1 veröffentlicht, um eine kritische Zero-Day-Schwachstelle zu beheben. Diese wird bereits aktiv ausgenutzt.
„Bei der Manipulation von JavaScript-Objekten kann es aufgrund von Problemen in Array.pop zu einer Verwechslungsgefahr kommen. Dies kann zu einem ausnutzbaren Absturz führen. Wir haben Angriffe registriert, die diesen Fehler missbrauchen.“, schreiben die Mozilla-Entwickler in einem Sicherheitshinweis.
Samuel Groß, ein Sicherheitsforscher im Google Project Zero Sicherheitsteam, und das Coinbase Security Team haben die Zero-Day-Schwachstelle mit der Kennung CVE-2019-11707 entdeckt.
Außer der auf der Mozilla-Website veröffentlichten Kurzbeschreibung gibt es keine weiteren Details zu dieser Sicherheitslücke oder den laufenden Angriffen. Basierend darauf, wer die Sicherheitslücke gemeldet hat, darf man davon ausgehen, dass die Sicherheitslücke bei Angriffen auf Kryptowährungseigentümer ausgenutzt wurde.
Firefox Zero-Day-Schwachstellen sind recht selten. Das letzte Mal, als das Mozilla-Team einen Firefox-Zero-Day patchte, war im Dezember 2016. Durch die Lücke konnten Tor-Nutzer ausspioniert werden.
Der Browser-Hersteller Google hat im März dieses Jahres einen Zero-Day in seinem Browser gepatcht. Google beschrieb die Schwachstelle als Fehler in der Speicherverwaltung von Chromes FileReader – also einer Web-API, die in allen wichtigen Browsern enthalten ist und dafür sorgt, dass Web-Apps die Inhalte von Dateien auf dem Rechner des Nutzers lesen können.
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
