Nutzer von Firefox sollten ihre Firefox-Versionen auf die Ausgabe 58.0.1 aktualisieren. Bei allen älteren Versionen können Angreifer Schadcode ausführen. Entwickler warnen davor, dass für einen erfolgreichen Übergriff schon der Besuch einer präparierten Webseite ausreichen soll.

Den Entwicklern zufolge sind Firefox für Android und Firefox 52 ESR nicht von der Schwachstelle betroffen. Die Attacke kann aus der Ferne ohne Authentifizierung erfolgen.

Dafür muss eine Webseite mit einer manipulierten CPV-Datei (Chrome-Privileged Document) präpariert sein und der Angreifer muss ein Opfer zum Besuch dieser Seite bringen. Demzufolge ist ein XSS-Angriff möglich, mit dem dann eine Ausführung von Schadcode möglich ist. Das CERT Bund stuft diese Lücke mit der höchstmöglichen Risikobewertung ein.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE