Firefox-Nutzer in Gefahr: Notfall-Update gegen kritische Zero-Day-Lücke

Mozilla hat ein kritisches Sicherheitsupdate für Firefox veröffentlicht. Eine aktiv ausgenutzte Zero-Day-Lücke ermöglicht Angreifern die Aus­führung von Schadcode. Nutzer sollten ihre Browser aktualisieren. Die Schwachstelle betrifft auch Firefox ESR und den Tor-Browser.

Kritische Schwachstelle in Firefox entdeckt

Mozilla hat ein Notfall-Update für seinen Webbrowser Firefox herausgegeben. Grund dafür ist eine kritische Sicherheitslücke (CVE-2024-9680), die bereits aktiv von Angreifern ausgenutzt wird. Die als "Zero-Day" klassifizierte Schwachstelle betrifft sowohl die Standardversion von Firefox als auch die Extended Support Release (ESR) Varianten.

Bei der entdeckten Lücke handelt es sich um eine sogenannte "Use-After-Free"-Schwachstelle in den CSS-Animationen des Browsers. Dieser Fehlertyp ermöglicht es Angreifern, beliebigen Code in den Inhaltsverarbeitungsprozess einzuschleusen und auszuführen. Besonders besorgniserregend ist, dass für einen erfolgreichen Angriff keinerlei Nutzerinteraktion erforderlich ist. Infografik Browsermarkt: Der steile Aufstieg von Google Chrome

Hohe Gefährdung durch einfache Ausnutzbarkeit

Die Sicherheitslücke wurde mit einem CVSS-Wert (Common Vulnerability Scoring System) von 9,8 von 10 möglichen Punkten bewertet. Dies unterstreicht die hohe Gefährdung, die von ihr ausgeht. Experten stufen die Angriffskomplexität als gering ein, was bedeutet, dass potenzielle Angreifer die Schwachstelle relativ einfach ausnutzen können.

Entdeckt wurde die Sicherheitslücke von Damien Schaeffer, einem Sicherheitsexperten des Antivirenherstellers Eset. Über die genauen Details der Angriffe und deren Verbreitung hält sich Mozilla bisher bedeckt. Es ist jedoch davon auszugehen, dass weitere Informationen in den kommenden Tagen bekannt werden.

Schnelle Reaktion und verfügbare Updates

Mozilla hat schnell auf die Entdeckung reagiert und Sicherheitsupdates für alle betroffenen Versionen bereitgestellt. Für die Standardversion von Firefox steht das Update auf Version 131.0.2 zur Verfügung. Nutzer der ESR-Varianten können auf die Versionen 115.16.1 oder 128.3.1 aktualisieren, je nachdem, welche Hauptversion sie verwenden.

Auch der auf Firefox basierende Tor Browser wurde aktualisiert. Die Entwickler haben den Fix gegen CVE-2024-9680 in die Version 13.5.7 integriert, ohne auf ein offizielles ESR-Update zu warten.

So führen Sie das Update durch

Firefox lädt Updates in der Regel automatisch herunter und installiert sie beim nächsten Neustart des Browsers. Nutzer können jedoch auch manuell nach Updates suchen, indem sie im Menü auf "Hilfe" und dann auf "Über Firefox" klicken. Hier wird die aktuell installierte Version angezeigt und gegebenenfalls ein Update-Download angestoßen.

Angesichts der Schwere der Sicherheitslücke und der Tatsache, dass sie bereits aktiv ausgenutzt wird, sollten alle Firefox-Nutzer ihre Browser umgehend aktualisieren. Dies gilt insbesondere für Unternehmen und Organisationen, die die ESR-Versionen einsetzen.

Nutzt ihr Firefox und habt ihr euren Browser schon aktualisiert? Teilt eure Erfahrungen in den Kommentaren!

Download Mozilla Firefox - Open Source-Webbrowser Download Tor Browser - privater Webbrowser für Windows
Siehe auch: