Mozilla patcht zwei aktiv ausgenutzte Zero-Day-Schwachstellen in Firefox
Das große Ganze: Mozilla hat neue Versionen seines Firefox-Browsers veröffentlicht, die zwei kritische Zero-Day-Schwachstellen beheben. Beide wurden bereits in freier Wildbahn aktiv ausgenutzt, also sollten Sie sich den Patch so schnell wie möglich schnappen, um eine Gefährdung zu vermeiden.
Die Schwachstellen mit den Bezeichnungen CVE-2022-26485 und CVE-2022-26486 sind beide UAF-Schwachstellen (Use-after-free), die von der chinesischen Internetsicherheitsfirma Qihoo 360 an Mozilla gemeldet wurden. Wie Kaspersky hervorhebt, beziehen sich diese Arten von Schwachstellen auf diese die falsche Verwendung von dynamischem Speicher während der Ausführung eines Programms.
Zeiger in einem Programm beziehen sich auf Datensätze im dynamischen Speicher. Wenn ein Datensatz gelöscht oder in einen anderen Block verschoben wird, der Zeiger jedoch nicht gelöscht (auf null gesetzt) wird, sondern weiterhin auf den jetzt freigegebenen Speicher verweist, ist das Ergebnis ein freier Zeiger. Wenn das Programm dann denselben Speicherplatz einem anderen Objekt zuweist (z. B. Daten, die von einem Angreifer eingegeben wurden), verweist der Dangling-Zeiger nun auf diesen neuen Datensatz. Mit anderen Worten, UAF-Schwachstellen ermöglichen eine Code-Ersetzung.
CVE-2022-26485 bezieht sich auf einen UAF-Fehler in der XSLT-Parameterverarbeitung, während der andere sich mit UAF im WebGPU-PIC-Framework befasst. Mozilla sagte in seiner Sicherheitsempfehlung, dass es Berichte über Angriffe in freier Wildbahn gibt, bei denen beide Fehler verwendet wurden.
Sie können die neueste Version von Mozilla Firefox für die Plattform Ihrer Wahl auf unserer Download-Seite herunterladen oder manuell über das integrierte Hilfemenü von Firefox aktualisieren.
Mozillas Firefox hat in den letzten zehn Jahren einen erheblichen Marktanteil verloren. Laut StatCounter nutzte Ende 2010 etwa ein Drittel der Desktops weltweit Firefox. Ein Jahr später stieg Googles Chrome in der Popularität sprunghaft an und überholte Firefox. Mitte 2012 überholte Chrome den Internet Explorer von Microsoft und hat es nicht bereut.
Im letzten Monat machte Firefox nur 9,46 Prozent des globalen Marktes für Desktop-Browser aus. Der Branchenführer Chrome hingegen wurde auf 64,91 Prozent der Geräte verwendet.
Bildnachweis Nata Figueiredo