Mozilla reagiert zügig auf Firefox-Exploit des Hacker-Wettbewerbs Pwn2Own
Die Entwickler des Webbrowsers Firefox haben in der aktuellen Version 52.0.1 eine kritische Sicherheitslücke geschlossen, die Hacker erst kürzlich entdeckten.
Rund 22 Stunden, nachdem Teilnehmer des Hacking-Wettbewerbs Pwn2Own eine Sicherheitslücke im Webbrowser Firefox erfolgreich ausgenutzt haben, stellt Mozilla die abgesicherte Version 52.0.1 zum Download bereit. Die Entwickler stufen die Lücke als kritisch ein.
Durch das Ausnutzen der Lücke konnten die Teilnehmer des Wettbewerbs einen Speicherfehler provozieren (integer overflow) und offensichtlich eigenen Code ausführen, um einen Computer zu übernehmen. Schließlich ist es das Ziel des Wettbewerbs, dass Hacker Zero-Day-Lücken ausnutzen, um ganze Geräte zu kompromittieren. Mozilla zufolge setzt ein erfolgreicher Übergriff jedoch noch eine zweite, nicht näher beschriebene Lücke voraus, um aus der Sandbox ausbrechen zu können.
Firefox ESR 45.x und der darauf basierende Tor Browser sind Mozilla zufolge nicht von der Schwachstelle betroffen – die verwundbare createImageBitmap
-API kommt bei der ESR-Ausgabe nicht zum Einsatz.
Mozilla als gutes Beispiel
Die Pwn2Own-Veranstaltung findet jährlich statt. Dieses Mal wurden außer Firefox unter anderem noch Flash, Edge, Linux, macOS und Windows geknackt. Ob bereits weitere Hersteller mit Sicherheitspatches auf die diesjährigen Pwn2Own-Exploits reagiert haben, ist bislang nicht bekannt.
Dieses Jahr hat zudem ein Team drei bisher unbekannte Sicherheitslücken im Webbrowser Edge ausgenutzt, um aus einer virtuellen Maschine auszubrechen und das Wirtssystem zu übernehmen. Eine derartige Vorführung hat es bis dato öffentlich noch nicht gegeben. Das hat ihnen ein Preisgeld von 105.000 US-Dollar eingebracht.
Quelle: heise.de