[Draalz]

Zitat:

Firefox: Mozilla schließt kritische Sandbox-Lücke in Windows-Version

Updates für Firefox schließen eine Sandbox-Lücke unter Windows. Sie ähnelt derjenigen, die in Google Chrome angegriffen wird.


Sicherheitslücken in Firefox gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

07:42 Uhr

Von Dirk Knop

Für den Webbrowser Firefox stehen Aktualisierungen bereit, die eine als kritisch eingestufte Sicherheitslücke schließen. Unter Windows ermöglicht sie bösartigen Akteuren, aus der Sandbox auszubrechen und somit Schadcode im System einzuschleusen und auszuführen.

In einer Sicherheitsmitteilung erklären die Mozilla-Entwickler, dass sie im Nachgang zu der jüngst in Google Chrome bekannt gewordenen, bereits in freier Wildbahn angegriffenen Sicherheitslücke ähnliche Muster im Code von Firefox für die Interprozesskommunikation (IPC, Inter Process Communication) gefunden haben. "Ein kompromittierter Child-Prozess kann dazu führen, dass der Eltern-Prozess einen unabsichtlich mächtigen Handle zurückliefert, was zu einem Ausbruch aus der Sandbox führt", erörtern die Entwickler den Fehler etwas kryptisch (CVE-2025-2857, kein CVSS, Risiko "kritisch").

Betroffene Versionen

Das Problem tritt lediglich unter Windows auf. Die Firefox-Versionen 136.0.4, Firefox ESR 115.21.1 und Firefox ESR 128.8.1 korrigieren die sicherheitsrelevanten Fehler. Wer die Mozilla-Webbrowser unter Windows nutzt, sollte zügig sicherstellen, die fehlerbereinigten Versionen einzusetzen.

Ob Firefox bereits aktuell ist, können Nutzerinnen und Nutzer durch den Aufruf des Versionsdialogs herausfinden. Der öffnet sich, wenn das Browser-Menü angeklickt wird, das sich hinter dem "Hamburger"-Symbol mit drei horizontalen Strichen rechts von der Adressleiste verbirgt, und dem weiteren Weg über "Hilfe" – "Über Firefox".


Der Versionsdialog installiert das Update und fordert anschließend zum Browser-Neustart auf.
(Bild: Screenshot / dmk)

Angegriffene Sandbox-Lücke in Chrome

In der Nacht zum Mittwoch dieser Woche hatte Google dem Webbrowser Chrome eine Sicherheitsaktualisierung verpasst. Sie korrigierte eine bereits attackierte Schwachstelle in der Mojo-Komponente des Browsers, die Funktionen zur Interprozesskommunikation bereitstellt. Auch hier erlaubte der Fehler, dass Angreifer aus der Sandbox ausbrechen und schließlich eingeschleusten Schadcode ausführen konnten.

Kaspersky hatte die Angriffe auf die Schwachstelle entdeckt, und sie "Operation ForumTroll" genannt. Eine Phishing-E-Mail enthielt Links auf manipulierte Webseiten. Klickt ein Opfer darauf, führt die Anzeige der Webseite ohne weitere Nutzerinteraktion zur Infektion des Windows-PCs. Tiefergehende Details zu der Lücke sind noch nicht öffentlich verfügbar.

Quelle: heise.de