Delstek Blog

Schwerer Firefox-Exploit entdeckt: Kritische Sicherheitslücke bedroht auch den Tor-Browser

  


Eine kritische 9.8-Sicherheitslücke in Firefox und dem Tor-Browser wird aktiv ausgenutzt. Erfahren Sie, was die Schwachstelle ist und wie Sie sich schützen können.

Über die Schwachstelle

Das slowakische Unternehmen ESET hat in Firefox eine Sicherheitslücke gefunden. Es handelt sich um eine "Use-After-Free"-Schwachstelle in der CSS-Animations-Timeline. Firefox meldete diese Sicherheitslücke am 9. Oktober 2024. Es handelt sich dabei um einen Zero-Day-Exploit, der aktiv von Angreifern ausgenutzt wird.

Was ist eine "Use-After-Free"-Schwachstelle?
Eine "Use-After-Free"-Schwachstelle (kurz UAF) tritt auf, wenn ein Programm auf einen Speicherbereich zugreift, nachdem dieser bereits (z. B. durch die Funktion free() in Programmiersprachen wie C) freigegeben wurde. Dies kann passieren, wenn der Speicher fälschlicherweise weiterhin verwendet wird, obwohl er für andere Zwecke zur Verfügung steht. Angreifer können diese Schwachstelle ausnutzen, um unerwartetes Verhalten des Programms zu verursachen, oft mit der Absicht, bösartigen Code auszuführen, sensible Informationen zu stehlen oder das System zu destabilisieren. Solche Schwachstellen treten häufig in Anwendungen auf, die in unsicheren Programmiersprachen wie C oder C++ geschrieben sind, da diese eine manuelle Speicherverwaltung erfordern.

Welche Browser und Versionen betroffen sind

Von der Schwachstelle sind Firefox < 131.0.2, Firefox ESR < 128.3.1, Firefox ESR < 115.16.1, Thunderbird < 131.0.1 , Thunderbird < 128.3.1 , Thunderbird < 115.16.0. Auch Browser die auf Firefox basieren sind betroffen. Hierzu gehören der Tor Browser, Zen Browser, Waterfox und Firefox Focus.

So können Sie sich vor der Schwachstelle schützen

1. Browser updaten

Da die Schwachstelle in neueren Versionen behoben wurde, kann durch ein Browser-Update die Sicherheitslücke entfernt werden. Auf dem Computer müssen Sie hierzu rechts auf das Drei-Striche-Menü klicken, dann unter "Hilfe" auf "Über Firefox" klicken. Hier sehen Sie Ihre aktuelle Firefox-Version und können diese falls nötig updaten.

2. CSS-Animationen deaktivieren (nicht empfohlen) oder anderen Browser nutzen

Falls Sie Ihren Browser nicht updaten können haben Sie 2 Optionen:

  1. Sie nutzen einen anderen Browser wie Chrome oder Safari.
  2. Sie deaktivieren CSS-Animationen in Ihrem Browser über "about:config". Diese Option wird nicht empfohlen und sollte nur als Notlösung verwendet werden.

Quellen: