Kritische Sicherheitslücke in Firefox entdeckt: Was du jetzt tun musst

Letzte Woche habe ich auf vielen Tech-Seiten über einen schwerwiegenden Exploit im Chromium-basierten Arc-Browser lesen dürfen. Auf Redit, 9gag und co war schnell ein "Zum Glück nutze ich Firefox" zu lesen. Eine Woche später und das Blatt scheint sich gewendet zu haben. Denn nun ist eine kritische Sicherheitslücke mit einer Bewertung von 9,8 in einem zweiten Browser aufgetaucht – diesmal betrifft es Firefox. Und noch schlimmer: Sie wird bereits aktiv ausgenutzt.

Bevor du jetzt in die Kommentare springst und sagst: "Zum Glück nutze ich Tor", betrifft es auch alle, die mit dem Tor-Browser unterwegs sind, der auf Firefox basiert. Diesmal war es jedoch kein einfacher Fehler aufgrund einer falsch konfigurierten Sicherheitsregel, sondern eine Use-After-Free-Schwachstelle in der Implementierung der CSS Animation Timeline. Ein hängender Zeiger wurde übersehen, was viel schwieriger zu entdecken und zu überprüfen ist. In diesem Fall könnten Angreifer die vollständige Kontrolle über deinen Browser übernehmen und Remote-Code-Ausführung durchführen.

Wenn du eine der betroffenen Firefox-Versionen nutzt, bist du wahrscheinlich gefährdet.

Was ist passiert?

Das slowakische Unternehmen ESET hat die Schwachstelle entdeckt und gemeldet. Angreifer können durch Ausnutzen der Use-After-Free-Lücke in der CSS Animation Timeline Code in deinem Browser ausführen. Ich nutze die Animation Timeline oft, um Scroll-Animationen auf Websites zu erstellen – wer hätte gedacht, dass sie ein Angriffsvektor sein könnte?

Was bedeutet Use-After-Free?

Um zu verstehen, warum das so gefährlich ist, lass uns kurz erklären, was ein Use-After-Free-Exploit ist. Solche Schwachstellen haben in der Vergangenheit bereits Browser wie Chrome und Safari betroffen und waren sogar für den iOS-Jailbreak von 2019 verantwortlich.

Stell dir vor, ein Programm reserviert Speicherplatz für Daten (z.B. für eine Animation). Wenn dieser Speicher nicht mehr benötigt wird, sollte er freigegeben werden. Ein hängender Zeiger entsteht, wenn das Programm versucht, auf diesen bereits freigegebenen Speicher zuzugreifen. Ein Angreifer kann diesen Fehler ausnutzen, um eigenen Code einzuschleusen und auszuführen.

Wer ist betroffen?

• Firefox-Nutzer: Wenn du Firefox verwendest, solltest du sofort ein Update durchführen.
• Tor-Browser-Nutzer: Da der Tor-Browser auf Firefox basiert, bist auch du betroffen.
• Zen-Browser-Nutzer: Dieser auf Firefox basierende Browser hat das Update bereits erhalten.

Was solltest du tun?

• Aktualisiere deinen Browser: Stelle sicher, dass du die neueste Version von Firefox oder deinem Firefox-basierten Browser installiert hast.
• Sei vorsichtig mit Plugins: Unabhängig von dieser speziellen Schwachstelle ist es immer eine gute Idee, nur vertrauenswürdige Erweiterungen zu verwenden.
• Halte dein System aktuell: Regelmäßige Updates deines Betriebssystems und deiner Software erhöhen generell die Sicherheit.

Schlechte Nachrichten für Adblock-Nutzer

Und an dieser Stelle noch eine zweite (schlecht) Nachricht bezüglich der Browserlandschaft. Wir alle wussten, dass dieser Tag kommen würde. Gestern erschien eine ominöse Nachricht auf der Installationsseite des Plugins uBlock, die Nutzer:innen davor warnt, dass das Ende naht, Denn Chrome wird zukünftig nicht mehr mit uBlock Origin oder anderen Adblockern funktionieren. Dies ist Teil von Googles Plan, die Manifest-Version für Plugins von Version 2 auf Version 3 zu aktualisieren. Dadurch wird die WebRequest-API eliminiert, mit der Plugins wie uBlock alle eingehenden Netzwerkaufrufe sehen können, um unerwünschte Inhalte zu blockieren. Das bedeutet, dass die Plugins dann nicht mehr auf den Netzwerkverkehr zugreifen können und die Regeln entsprechend nicht zu Anwendung kommen. Ergebnis? Werbeblocker werden keine Werbung mehr blockieren. Zumindest nicht auf dem bisherigen Weg. In diesen Zusammenhang sind dann die "Zum Glück nutze ich Firefox"-Rufe wieder lauter geworden. Denn im Firefox sind aktuell keine Änderungen geplant.