Firefox 39.0.3

Mozilla stopft ausgenutzte Firefox-Lücke

Mozilla hat gestern Abend ein Update auf Firefox 39.0.3 bereit gestellt. Es beseitigt eine Sicherheitslücke im Browser, die bereits für Angriffe genutzt wird.

In Firefox bis Version 39.0 steckt eine Sicherheitslücke, deren Ausnutzung es einem Angreifer ermöglicht lokale Dateien auszulesen. Mozilla hat ein Update auf Firefox 39.0.3 veröffentlicht und verteilt es über die integrierte Update-Funktion. Es beseitigt die Schwachstelle im eingebauten PDF-Viewer. Laut Mozilla sind bereits Angriffe bekannt, bei denen diese Lücke ausgenutzt wird.

Der in Firefox bis 39.0 integrierte PDF-Betrachter pdf.js ist anfällig für eine Script-Injektion, mit der die so genannte Same Origin Policy verletzt wird. Der Sicherheitsforscher Cody Crews hat die Schwachstelle entdeckt und an Mozilla gemeldet. Ein Angreifer, der diese Lücke ausnutzt, kann Dateien mit potenziell sensiblen Inhalten auf dem Rechner des Opfers auslesen oder sich höhere Berechtigungen verschaffen.

Mozilla stuft die Schwachstelle in seiner Sicherheitsmitteilung MFSA 2015-78 als kritisch ein. Neben Firefox 39.0.3 hat Mozilla auch eine aktualisierte ESR-Fassung (Extended Support Release) des Browsers, Firefox ESR 38.1.1, bereit gestellt. (PC Welt/mje)