Hersteller und CERT Bund warnen vor Sicherheitslücke
Mozillas Webbrowser Firefox weist eine als kritisch eingestufte Sicherheitslücke auf. Die Benutzer sollten möglichst umgehend die abgesicherte Version installieren.
Alle Versionen vor Firefox 58.0.1 sind verwundbar
Bis auf die zuletzt veröffentlichte Ausgabe 58.0.1 sollen alle Firefox-Versionen für Angriffe anfällig sein, über die Angreifer Schadcode auf den betroffenen Rechnern ausführen können. Für eine erfolgreiche Attacke soll schon der einfache Aufruf einer präparierten Webseite mit einem nicht abgesicherten Firefox-Browser ausreichen, sagen die Entwickler.
Wer also noch einen Firefox mit dieser Schwachstelle nutzt, sollte dringend die abgesicherte Version 58.0.1 installieren. Nach Angaben der Entwickler sind der Firefox für Android und die Langzeitversion Firefox 52 ESR nicht von der Schwachstelle betroffen. Ein Angriff soll aus der Ferne ohne jede Authentifizierung möglich sein.
Der Ablauf eines Angriffs
Zu diesem Zweck brauchen die Angreifer nur eine Webseite mit einer entsprechend manipulierten CPV-Datei (chrome-privileged Document) präparieren und dann ihr Opfer zum Besuch dieser Seite bewegen. Nachfolgend ist dann ein Cross-Site-Scripting (XSS)-Angriff möglich, der zur Ausführung von Schadcode auf dem Computer des Opfers führen kann, warnt auch das CERT Bund und vergibt dabei die höchstmögliche Risikobewertung.