Mozilla stopft zwei kritische Lücken in Firefox

Mozilla hat ein außerplanmäßiges Sicherheitsupdate für seinen Browser Firefox veröffentlicht. Es schließt zwei kritische Sicherheitslücken, die in der vergangenen Woche beim Hackerwettbewerb Pwn2Own 2024 präsentiert wurden. Nutzer des Browsers sollte nun zeitnah auf die fehlerbereinigte Version 124.0.1 umsteigen.

Die Anfälligkeiten stecken in den Komponenten Range Analysis und Event Handlers und treten offenbar bei der Verarbeitung von JavaScript-Code auf. Während bei der ersten Schwachstelle eine Überprüfung von Eingaben umgangen wird, basiert der zweite Bug darauf, dass sich Code in ein privilegiertes Objekt einfügen lässt. In beiden Fällen ist es möglich, Schadcode aus der Ferne einzuschleusen und außerhalb der Sandbox des Browsers auszuführen.

Entdeckt wurden beide Löcher von einem Nutzer namens Manfred Paul. Er kassierte für seine Arbeit an Mozilla Firefox eine Prämie in Höhe von 100.000 Dollar. Außerdem erhielt er für andere von ihm gezeigte Anfälligkeiten bei Pwn2Own weitere 102.500 Dollar, was ihm letztlich den Gesamtsieg einbrachte.

Das Update für Firefox 124 steht für Windows, macOS und Linux zum Download bereit. Die Verteilung erfolgt über die Update-Funktion von Firefox. Über den Punkt „Über Firefox“ im Hilfemenü der Browsereinstellungen lässt sich die Aktualisierung auch manuell anstoßen beziehungsweise die aktuell verwendete Browserversion prüfen. Zum Abschluss der Installation ist ein Neustart der Anwendung erforderlich.