Mozilla Firefox 97.0.2 behebt zwei aktiv ausgenutzte Zero-Day-Fehler
Mozilla hat Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Focus 97.3.0 veröffentlicht, um zwei kritische Zero-Day-Schwachstellen zu beheben, die aktiv in Angriffen ausgenutzt werden.
Bei beiden Zero-Day-Schwachstellen handelt es sich um „Use-after-free“-Fehler, bei denen ein Programm versucht, Speicher zu verwenden, der zuvor freigegeben wurde. Wenn Bedrohungsakteure diese Art von Fehler ausnutzen, kann dies zum Absturz des Programms führen und gleichzeitig die Ausführung von Befehlen auf dem Gerät ohne Erlaubnis ermöglichen.
Diese Fehler sind kritisch, da sie es einem Angreifer ermöglichen können, fast jeden Befehl auszuführen, einschließlich des Herunterladens von Malware, um weiteren Zugriff auf das Gerät zu erhalten.
Die von Mozilla behobenen Zero-Day-Schwachstellen sind:
CVE-2022-26485: Use-after-free in der XSLT-Parameterverarbeitung – Das Entfernen eines XSLT-Parameters während der Verarbeitung hätte zu einem ausnutzbaren Use-after-free führen können. Uns liegen Berichte über Angriffe in freier Wildbahn vor, die diesen Fehler ausnutzen.
CVE-2022-26486: Use-after-free in WebGPU IPC Framework – Eine unerwartete Meldung im WebGPU IPC Framework könnte zu einem Use-after-free und einem ausnutzbaren Sandbox-Escape führen. Wir haben Berichte über Angriffe in freier Wildbahn, die diesen Fehler ausnutzen.
Wie Mozillas Sicherheitshinweis erklärt, sind den Firefox-Entwicklern „Berichte über Angriffe in freier Wildbahn“ bekannt, die diese Schwachstellen aktiv ausnutzen.
Mozilla hat zwar nicht mitgeteilt, wie Angreifer diese Zero-Day-Schwachstellen in Angriffen nutzen, aber wahrscheinlich wurden Firefox-Nutzer auf böswillig gestaltete Webseiten umgeleitet.
Die Schwachstellen wurden von dem chinesischen Cybersicherheitsunternehmen Qihoo 360 ATA entdeckt und an Mozilla weitergegeben.
Da es sich bei diesen Fehlern um kritische Schwachstellen handelt, die bereits aktiv ausgenutzt werden, wird allen Firefox-Nutzern dringend empfohlen, ihren Browser sofort zu aktualisieren.
Sie können die neueste Version von Mozilla Firefox für Windows, macOS und Linux auch über die folgenden Links herunterladen:
Download bei Mozilla: https://www.mozilla.org/de/
Benutzer können manuell nach neuen Updates suchen, indem sie das Firefox-Menü > Hilfe > Über Firefox aufrufen. Firefox sucht dann automatisch nach dem neuesten Update, installiert es und fordert Sie auf, Ihren Browser neu zu starten.