Kritische Sicherheitslücke in Mozilla Firefox - Patch verfügbar

31. Jänner 2018

Beschreibung

Mozilla hat einen Out-of-Band Patch für eine kritische Sicherheitslücke im Webbrowser Firefox veröffentlicht.

Auswirkungen

Durch Ausnützen dieser Lücke kann ein Angreifer beliebigen Code auf betroffenen Systemen, mit den Rechten des angemeldeten Benutzers, ausführen. Dazu reicht es, den Browser zum Anzeigen einer entsprechend präparierten Webseite zu bringen. Links dazu können etwa per Spam-Mail verbreitet werden.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen folgende Software von Mozilla installiert ist:
  • Mozilla Firefox vor Version 58.0.1
Mozilla Firefox 52 ESR und Firefox for Android sind nicht betroffen.

Abhilfe

  • Einspielen des Updates

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Meldung bei Heise Security
https://www.heise.de/security/meldung/Wichtiges-Sicherheitsupdate-Praeparierte-Webseiten-koennen-Firefox-austricksen-3955246.html
Artikel auf Bleeping Computer (englisch)
https://www.bleepingcomputer.com/news/security/mozilla-fixes-severe-flaw-in-firefox-ui-that-leads-to-remote-code-execution/
Mozilla Foundation Security Advisory 2018-05 (englisch)
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/