Browser: Schwere Sicherheitslücke in Firefox 39 und 38.1 ESR

Nur wenige Tage vor der Veröffentlichung von Firefox 40 bringt Mozilla ein Sicherheitsupdate gegen eine gefährliche Lücke in Firefox 39 und 38.1. ESR. Betroffen ist der integrierte PDF-Reader, die Lücke wird laut Mozilla bereits aktiv ausgenutzt.

Die Nähe zum planmäßigen Veröffentlichungstermin von Firefox 40 am kommenden Dienstag unterstreicht die Schwere der Lücke, die Mozilla als kritisch einstuft. Angreifer können unter Umgehung der Same-Origin-Policy (SOP) Code in den nicht privilegierten Teil der Anwendung PDF.js injizieren und so Zugriff auf lokale Daten erhalten.

Die Lücke, die in Versionen vor 39.0, 31.8 ESR und 38.1 ESR vorhanden ist, hat die Kennung CVE-2015-2743 erhalten. Die Lücke kann über das Internet ausgenutzt werden, ist leicht zugänglich und benötigt keine Authentisierung. Die neuen Versionen, die einen Patch gegen die Lücke haben, erhielten die Versionsnummern 39.0.3 beziehungsweise 38.1.1. ESR. Das aktuelle Firefox 31.8 ESR enthält die Lücke nicht und erhält somit kein Update. Allerdings wird Firefox 31 ESR am kommenden Dienstag auslaufen. Anwender von 31 ESR sind angehalten, auf 38 ESR umzusteigen. Allen Anwendern von Firefox 39 wird dringend geraten, auf Version 39.0.3 zu aktualisieren, auch wenn Firefox 40 bereits in den Startlöchern steht.