Mozilla veröffentlichte bereits eine neue Version seines Firefox Web-Browsers (72.0.1), um eine kritische Zero-Day-Schwachstelle zu beseitigen, die schon für zielgerichtete Angriffe ausgenutzt wurde.
Details zum Fehler und dessen Ausnutzung sind jedoch eher spärlich. Die wenigen Informationen, die am Mittwoch in Mozillas Sicherheitswarnung veröffentlicht wurden, zeigen, dass es sich um eine Art Type Confusion-Fehler handelt, die im Ionmonkey liegt, einem Just-in-time-(JIT-)Compiler für die JavaScript-Engine SpiderMonkey des Browsers.
Eine Warnung der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) weist darauf hin, dass die Schwachstelle ausgenutzt werden könnte, um ein betroffenes System zu übernehmen.
Mozilla sagt, dass es „sich darüber bewusst ist, dass die Anfälligkeit bereits für zielgerichtete Angriffe missbraucht“ wird. Die Schwachstelle wird als CVE-2019-17026 getrackt und betrifft sowohl Firefox als auch Firefox ESR, wobei letztere Version vor allem von großen Organisationen benutzt wird.
Die neuen Versionen des Browsers – Firefox 72.0.1 und Firefox ESR 68.4.1 – sind für alle unterstützten Desktop-Plattformen verfügbar: Windows, macOS und Linux. Selbstverständlich sollten Nutzer keine Zeit vergeuden, das neue Update einzuspielen. Der Fix kann implementiert werden, indem man das Firefox-Menü aufsucht, zunächst auf Hilfe und dann auf Über Firefox klickt. Laut Statcounter verfügt Firefox über einen Marktanteil von 9 Prozent bei den am meisten genutzten Browsern.
Die Updates wurden nur einen Tag nach der Veröffentlichung von Firefox 72.0 and Firefox ESR 68.4 herausgebracht, die bereits selbst Fixes für verschiedene Sicherheitsschwachstellen enthielten, die allerdings weniger gravierend waren.
Im letzten Juni hat Mozilla im Abstand von zwei Tagen zwei Zero-Day-Lücken gepatcht. Andere Browser, insbesondere Chrome und Internet Explorer, wurden in vergangenen Monaten ebenfalls mit Notfall-Patches für Zero-Days ausgestattet.
Vor ein paar Jahren haben Forscher von ESET dokumentiert, wie eine damalige Zero-Day-Lücke in Firefox von Cyberkriminellen ausgenutzt wurde.