Firefox: Mozilla stellt Patch gegen aktiv ausgenutzte Lücken bereit

Mozilla hat ein neues Update für den Firefox-Browser veröffentlicht. Die aktuelle Version 97.0.2 beseitigt zwei kritische Schwachstellen und sollte daher unbedingt installiert werden. Da die Lücken auch die ESR-Version betreffen, erhalten ESR-Nutzer ebenfalls einen neuen Build. Die zwei Schwachstellen sind unter den Bezeichnungen CVE-2022-26485 und CVE-2022-26486 bekannt. Wie Naked Security erläutert, handelt es sich bei der ersten Lücke um einen Fehler bei der Verarbeitung von XSLT-Parametern, der dazu führen kann, dass Speicher nicht korrekt freigegeben wird und ein Angreifer beliebigen Code auf fremden Rechnern ausführen kann. Die zweite Schwachstelle stellt einen Sandbox-Escape-Bug dar. Hiermit können Hacker Sicherheitsmechanismen umgehen und Malware über den Browser einschleusen.

Lücken sollen bereits ausgenutzt werden

Mozilla betont, dass die beiden Sicherheitslücken in der Praxis bereits aktiv ausgenutzt werden, sodass es sich um einen Zero-Day-Exploit handelt. Es empfiehlt sich also, das Update schnellstmöglich herunterzuladen. Bislang haben die Browser-Entwickler keine genauen Details zu den Schwachstellen mitgeteilt.

Obwohl es sich bei Firefox grundsätzlich um ein Open-Source-Projekt handelt, hat Mozilla den Zugriff auf die letzten Quellcode-Änderungen vorübergehend eingeschränkt. Damit soll verhindert werden, dass noch mehr Hacker auf die Lücke zurückgreifen und Angriffe starten, bevor viele Nutzer den Patch installiert haben.

Der Patch steht nicht nur für die normale und die ESR-Variante von Firefox, sondern auch als Version 97.3.0 für den Android-Browser zur Verfügung. In den meisten Fällen dürfte das Update automatisch heruntergeladen werden. Alternativ lässt sich die Aktualisierung über die entsprechende Option in den Einstellungen oder über den Google Play Store anstoßen.

Download Mozilla Firefox: Open-Source-Webbrowser Siehe auch: