Mozilla stellt die abgesicherte Version 52.0.1 zum Download bereit, nachdem Teilnehmer des Hacking-Wettbewerbs Pwn2Own eine Sicherheitslücke im Webbrowser Firefox erfolgreich ausgenutzt haben. Die Lücke wird von den Entwickler als kritisch eingestuft.

Die Teilnehmer des Wettbewerbs konnten durch das Ausnutzen der Lücke einen Speicherfehler provozieren (integer overflow) und offensichtlich eigenen Code ausführen, um einen Computer zu übernehmen. Denn das Ziel des Wettbewerbs ist es, dass Hacker Zero-Day-Lücken ausnutzen, um ganze Geräte zu kompromittieren. Ein erfolgreicher Übergriff setzt laut Mozilla noch eine zweite, nicht näher beschriebene Lücke voraus, um aus der Sandbox ausbrechen zu können.

Mozilla zufolge sind Firefox ESR 45.x und der darauf basierende Tor Browser nicht von der Schwachstelle betroffen, da die verwundbare createImageBitmap-API bei der ESR-Ausgabe nicht zum Einsatz kommt.

Jedes Jahr findet die Pwn2Own-Veranstaltung statt. Weitere Ziele waren neben Firefox dieses Mal unter anderem Windows, Flash, Edge, Linux und macOS. Noch ist nicht bekannt, ob bereits weitere Hersteller mit Sicherheitspatches auf die diesjährigen Pwn2Own-Exploits reagiert haben.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE