Mozilla schließt Sicherheitslücke aus Hacking-Wettbewerb in Firefox

Mozilla schließt eine kritische Sicherheitslücke in Firefox und Firefox ESR, die ein Teilnehmer des Hackerwettbewerbs Pwn2Own live ausgenutzt hat. Dabei handelt es sich um einen out-of-bounds-Speicherfehler, über den ein Angreifer Schadcode auf Systeme schieben und ausführen könnte.

Die Schwachstelle findet sich darin, wie die Webbrowser Vorbis-Audiodateien über die Libvorbis-API verarbeiten. Der gleiche Fehler soll auch in Libtremor klaffen. Diese Bibliothek kommt in der Firefox-App auf Android- und ARM-Plattformen anstatt Libvorbis zum Einsatz. Übergriffe sollen aus der Ferne ohne Authentifizierung möglich sein. In Firefox 59.0.1 sind die Lücken geschlossen.

Quelle: Mozilla schließt Sicherheitslücke aus Hacking-Wettbewerb in Firefox | heise Security