Mozilla hat ein dringendes Update für seinen Webbrowser Firefox bereitgestellt. Die Sicherheitslücke ist bereits aktiv und wird in freier Wildbahn ausgenutzt. Diese Schwachstelle betrifft insbesondere Animationen in der Zeitleiste.
Der sicherheitsrelevante Fehler
Die Mozilla-Entwickler haben in einer aktuellen Sicherheitsmitteilung vor einer Verwendung nach der Freigabe gewarnt. Angreifer konnten durch diese Use-after-free-Lücke bösartigen Code in den Inhaltsverarbeitungsprozess einschleusen. Der spezifische Fehler wird unter der Bezeichnung CVE-2024-9680 gelistet. Mozilla hat die Einstufung als "kritisch" vorgenommen; ein CVSS-Wert steht noch aus.
Auswirkungen und betroffene Versionen
Bei dieser Art von Schwachstelle wird auf bereits freigegebene Ressourcen zugegriffen, deren Inhalte als undefiniert gelten – ein ideales Szenario für Schadsoftware. Laut der Mozilla-Stiftung sind Firefox & Firefox ESR betroffen. Die Versionen 131.0.2 von Firefox und ebenfalls die ESR-Versionen 128.3.1 und 115.16.1 sind nun verfügbar um die Lücke zu schließen. Thunderbird bleibt anscheinend unberührt da Mozilla das Mailprogramm nicht in seinen Warnungen erwähnt.
So installieren Nutzer das Update
Nutzer können den aktualisierten Browser einfach über den Versionsdialog finden der sich im Einstellungsmenü verbirgt. Dieser ist über das Symbol mit den drei horizontalen Strichen rechts von der Adressleiste zugänglich. Der Pfad führt über "Hilfe" und dann zu "Über Firefox". Es ist ratsam; die Installation der neuen Version unverzüglich zu überprüfen. Die Tatsache, dass die Schwachstelle aktiv angegriffen wird erhöht den Druck, schnellstmöglich zu handeln.
Datenschutzbedenken und neue Funktionen
Mit dem Update auf Firefox 128 wurde außerdem die als datenschutzfreundlich geltende Werbung "Privacy-Preserving Attribution" ohne vorherige Rückfragen aktiviert. Die Datenschutzorganisation Noyb hat in diesem Zusammenhang Beschwerde bei der niederösterreichischen Datenschutzbehörde eingereicht. Firefox-Nutzer müssen also nicht nur auf die Sicherheit achten, allerdings auch auf die Datenschutzpraktiken des Unternehmens.
Kommentare