Kritische Use-After-Free Sicherheitslücke in Mozilla Firefox und Firefox ESR

Am 9. Oktober 2024 veröffentlichte die Mozilla Foundation eine sicherheitsrelevante Mitteilung im Rahmen des Mozilla Foundation Security Advisory 2024-51, die eine schwerwiegende Sicherheitslücke betrifft. Die Schwachstelle (CVE-2024-9680) wurde in den Versionen Firefox 131.0.2, Firefox ESR 115.16.1 und Firefox ESR 128.3.1 behoben und betrifft sowohl den regulären Firefox-Browser als auch dessen Extended Support Release (ESR).

Die entdeckte Sicherheitslücke wird als “Use-After-Free” im Zusammenhang mit Animation timelines klassifiziert. Diese Art von Schwachstelle tritt auf, wenn ein Speicherbereich nach seiner Freigabe weiterhin genutzt wird. In diesem speziellen Fall konnte ein Angreifer durch die Schwachstelle die Kontrolle über den Inhaltsprozess erlangen und schädlichen Code ausführen. Mozilla bestätigte, dass die Lücke aktiv ausgenutzt wurde, was den kritischen Schweregrad der Sicherheitslücke verdeutlicht.

Der Sicherheitsforscher Damien Schaeffer von ESET wurde als Entdecker dieser Schwachstelle genannt, die über den Bug-Report 1923344 gemeldet wurde.

Die Einstufung der Schwachstelle als kritisch unterstreicht das hohe Risiko für Benutzer. Angreifer, die diese Sicherheitslücke ausnutzen, könnten in der Lage sein, auf dem betroffenen System beliebigen Code auszuführen und so unter anderem sensitive Informationen zu stehlen oder das System zu kompromittieren. Da die Schwachstelle bereits aktiv ausgenutzt wurde, ist es besonders wichtig, betroffene Systeme schnellstmöglich zu aktualisieren.

Nutzer von Mozilla Firefox und Firefox ESR sollten unverzüglich auf die neuesten Versionen aktualisieren, um sich vor möglichen Angriffen zu schützen. Die entsprechenden Sicherheitsupdates sind bereits verfügbar und schließen die kritische Sicherheitslücke vollständig.

Weitere Informationen finden Sie in den offiziellen Release Notes und der Bug-Dokumentation von Mozilla.

Related Posts

Qualcomm-Sicherheitsbulletin 10/24: RCE Schwachstelle in Snapdragon Smartphones behoben

Der Qualcomm-Sicherheitsbulletin für Oktober 2024 hebt mehrere kritische Schwachstellen in verschiedenen Qualcomm-Komponenten hervor, darunter die weit verbreiteten Snapdragon-Chipsätze und FastConnect-Lösungen. Besonders hervorzuheben sind folgende Sicherheitslücken:

Read More

Hackerangriff auf Casio führt zu Systemausfall

Casio hat bestätigt, dass sein Netzwerk am 5. Oktober 2024 von einer dritten Partei illegal angegriffen wurde. Eine interne Untersuchung ergab, dass der unbefugte Zugriff zu einem Systemausfall führte, der die Verfügbarkeit bestimmter Dienste beeinträchtigte.

Read More

GitLab veröffentlicht kritisches Patch-Update: 17.4.2, 17.3.5, 17.2.9

Am 9. Oktober 2024 hat GitLab neue Versionen für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht: 17.4.2, 17.3.5 und 17.2.9. Diese Updates beheben mehrere sicherheitsrelevante Schwachstellen und Fehler. Alle selbstverwalteten GitLab-Installationen sollten umgehend auf eine dieser Versionen aktualisiert werden. GitLab.com verwendet bereits die gepatchten Versionen, während Kunden von GitLab Dedicated keine weiteren Maßnahmen ergreifen müssen.

Read More