Kritischer Sicherheitsfix: Firefox 59.0.1 erschienen

Mozilla[English]Mozilla hat am 16. März 2018 überraschend ein Update freigegeben, welches den Firefox auf die Version 59.0.1 hebt. Danke an Blogleser AndreasR, der mich am Samstag auf dieses Update aufmerksam machte. Das Update behebt als kritisch eingestufte Sicherheitslücken. Zudem wird auch der Firefox ESR wegen dieser Sicherheitslücken auf die Version 52.7.2 aktualisiert.


Anzeige

Die langen Schatten des Pwn2Own-Wettbewerbs

Letzte Woche fand der Pwn2Own 2018-Wettbewerb der Zero-Day-Initiative statt, bei dem es um das Hacken von Software wie Browser ging. Das nachfolgende Video zeigt einige Eindrücke der Veranstaltung.

(Quelle: YouTube)

Dort wurde von Richard Zhu eine Sicherheitslücke im Firefox entdeckt, der bei einem Integer-Überlauf den Zugriff auf den Windows Kernel ermöglichte. Zhu bescherte das eine hübsche Stange Geld (120.000 US $) und den Titel ‘Master of Pwn’.

Sicherheitslücken im Firefox binnen Stunden gepatcht

Das führte dazu, dass die Mozilla-Entwickler sich sofort hinsetzten und eine Fehlerkorrektur entwickelten. Auf der Mozilla-Seite mit den Release Notes findet sich nur der Hinweis auf ‘various security fixes’. Geht man in die Details, wurde eine kritische Sicherheitslücke behoben, die hier beschrieben ist und sich gleich auf zwei Bibliotheken auswirkt.

CVE-2018-5146: Out of bounds memory write in libvorbis

Schwachstelle CVE-2018-5146 wird folgendermaßen in einem Advisory beschrieben.

Out of bounds memory write while processing Vorbis audio data

CRITICAL

PRODUCT: Firefox, Firefox ESR
FIXED IN

  • Firefox 59.0.1
  • Firefox ESR 52.7.2

Es handelt sich um eine Schwachstelle, die das Schreiben in unzulässige Speicherbereiche (Out of bounds memory write) bei der Verarbeitung von Vorbis encodierten Audio-Daten ermöglicht. Entdeckt wurde diese Sicherheitslücke von Richard Zhu via Trend von Micros Zero Day Initiative. Die Schwachstelle wurde im Rahmen eines Pwn2Own-Contest gefunden bzw. publiziert.

CVE-2018-5147: Out of bounds memory write in libtremor

Die zweite Sicherheitslücke CVE-2018-5147 ermöglicht ebenfalls das Schreiben in unzulässige Speicherbereiche (Out of bounds memory write) in der Bibiliothek libtremor und wurde von Huzaifa Sidhpurwala berichtet. Es ist praktisch der gleiche Fehler wie in CVE-2018-5146, der aber in der Library libtremor steckt. Diese Bibliothek wird von Firefox in Android und auf ARM-Plattformen an Stelle der libvorbis verwendet.


Werbung

Also sorgt dafür, dass der Firefox auf die aktuelle Version aktualisiert wird. Bei mir hat diese Aktualisierung gestern automatisch stattgefunden.

Tor-Browser auch aktualisiert

Hat dazu geführt, dass ich gestern den Artikel zu Tor Tor Browser 7.5.1/7.5.2 binnen Stunden aktualisieren musste – kurz nach der Freigabe der Version 7.5.1 wurde die Version 7.5.2 nachgeschoben.


Anzeige

Dieser Beitrag wurde unter Firefox abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Kritischer Sicherheitsfix: Firefox 59.0.1 erschienen

  1. RedOne sagt:

    bei mir wurde ein TV-Streaming-Problem mit Firefox ESR 52.7.2 gelöst

    bei mir wurde durch das Adobe Flash Player Update auf Version 29.0.0.113
    das TV-Streaming unter Internet Explorer 11 und Firefox 52.7.0 beeinträchtigt,
    teils sogar verunmöglicht.
    Mit dem Firefox update auf 52.7.2 ist das TV-Streaming-Problem bei mir gelöst.

    Was wohl bedeutet das nicht nur Security fixes enthalten sind.
    PS: Mit dem IE11 ist TV-Streaming noch immer beeinträchtigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.