Browser: erhebliche Sicherheitslücken in Firefox 16 und Chrome 22

BrowserSicherheitSicherheitsmanagementWorkspace
(Bild: shutterstock / FuzzBones)

Mozilla nimmt die gerade erst freigegebene Final von Firefox 16 zurück. Eine fehlerbereinigte Version soll im Lauf des Tages zur Verfügung stehen. Google verspricht, das gravierende Leck in Chrome umgehend zu schließen.

In den aktuellsten Browserversionen von Mozilla und Google sind als “kritisch” eingestufte Sicherheitslücken bekannt geworden. Google hat nur wenige Stunden nach der Entdeckung einer Sicherheitslücke in der Browser-Engine WebKit ein Update veröffentlicht. Mozilla hat dagegen die nur einen Tag zuvor fertig gestellte Final von Firefox 16 vorübergehend zurückgezogen.

“Die Anfälligkeit erlaubt es einer manipulierten Website möglicherweise, die von einem Nutzer besuchten Sites zu ermitteln oder auf die URL oder die URL-Parameter zuzugreifen”, schreibt Michael Coates, Direktor für Security Assurance bei Mozilla, in einem Blogeintrag. “Zurzeit gibt es keine Anzeichen dafür, dass die Schwachstelle schon ausgenutzt wird.”

Mozilla arbeitet nach eigenen Angaben schon an einem Fix. Er soll heute im Lauf des Tages bereitgestellt werden. In der Zwischenzeit empfiehlt das Unternehmen, ein Downgrade auf Firefox 15.0.1 durchzuführen. In der Version sei die Lücke nicht vorhanden, so Coates. “Alternativ können Nutzer auch warten, bis unsere Patches freigegeben und automatisch installiert werden.”

Die Schwachstelle in Chrome 22 wurde gestern von einem Hacker, der sich selbst “Pinkie Pie” nennt, im Rahmen des von Google ausgeschriebenen Wettbewerbs Pwnium 2 demonstriert. Er verknüpft zwei Anfälligkeiten zu einem Exploit, der die Sandbox von Chrome umgeht und das Einschleusen und Ausführen von Schadcode ermöglicht.

Einem Eintrag im Chromium-Blog zufolge tritt der erste Fehler im Rendering-Prozess von WebKit bei der Verarbeitung von SVG-Daten (Scalable Vector Graphic) auf. Der zweite Bug steckt im IPC-Layer (Inter-process Communication) und ermöglicht es, die Sandbox zu verlassen.

Ähnlich wie Mozilla hatte Google erst am Montag ein Sicherheitsupdate für Chrome 22 herausgebracht. Es schloss ebenfalls eine als “kritisch” eingestufte Lücke, die es einem Angreifer erlaubt, Schadcode außerhalb der Sandbox auszuführen.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.