Wer den Firefox von Mozilla für Desktop-Computer nutzt, sollte dringend das außerplanmäßige Sicherheits-Update 58.0.1 installieren. Der Grund für die Veröffentlichung dieses Updates ist eine Sicherheitslücke, die entsprechend eingerichteten Webseiten erlaubt, beliebigen Code auf dem Anwendercomputer auszuführen. [1] Das Risiko dieser Schwachstelle ist als sehr hoch einzustufen.
Die Auswirkung der Lücke besteht darin, dass ein Angreifer anhand einer CPV-Datei (Chrome Privileged Document) und eines XSS-Angriffs (Cross-Site-Scripting) dazu in der Lage ist, beliebigen Programmcode auszuführen. [2] Anhand der CPV-Datei lässt sich beliebiger Schadcode herunterladen und ausführen. Der Angreifer hat quasi einen Vollzugriff auf den Rechner mit den Rechten des jeweiligen Nutzers. Ab diesem Zeitpunkt ist es nur noch eine Frage der Zeit, bis auch administrative Rechte erlangt werden.
Ein mögliches und realistisches Szenario wäre, dass ein Angreifer einen Keylogger installiert und alle Bewegungen des Profils nachvollziehen kann. So lassen sich zum Beispiel angesteuerte Internetseiten und die dazugehörigen Zugangsdaten auslesen.
Auch ist es denkbar, dass auf Basis der Rechte des Nutzeraccounts des Rechners nach Programmen gesucht wird, die administrative Rechte benötigen, um ausgeführt werden zu können. Diese Programme haben ggf. Schwachstellen in der Konfiguration, sodass entsprechender Schadcode als Root ausgeführt werden kann.
Darüber hinaus wird ein weiterer Fehler in der Version 58.0.0 behoben, welcher Firefox daran gehindert hat, Seiten zu laden. In der Version 58.0.0 wurde ein neuer DLL-Blockier-Mechanismus eingespielt, welcher problematische Sicherheitssoftware blockieren sollte, um so Stabilitätsproblemen vorzubeugen. Jedoch führte genau dieser dazu, dass Sicherheitssoftware auf Windows Firefox am Laden von Seiten hinderte. [1]
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/