Firefox 52.0.1 behebt kritischen Fehler

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 32325
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Firefox 52.0.1 behebt kritischen Fehler

Beitrag von doelf » 18 Mär 2017, 16:14

Beim aktuellen Pwn2Own-Wettbewerb, der diese Woche im Rahmen der Sicherheitskonferenz CanSecWest stattfand, wurde auch der Firefox geknackt. Die Sicherheitsexperten vom Chaitin Security Research Lab hatten hierzu einen Ganzzahlenüberlauf in der Funktion createImageBitmap() genutzt, welcher im aktualisierten Firefox 52.0.1 beseitigt wurde. Auch die ESR-Variante mit verlängerter Support-Zeit liegt in der Version 52.0.1 zum Download bereit.

Für den zweiten Tag des Pwn2Own 2017 waren eigentlich zwei Angriffe auf den Firefox 52.0 geplant, doch Moritz Jodeit von Blue Frost Security konnte seine Attacke nicht in der vorgegebenen Zeit vollenden. Damit hing es an Chaitin Security Research Lab, ob Mozillas Webbrowser diesmal fallen würde. Dank experimenteller Erweiterungen für die createImageBitmap-API konnten die Forscher einen Ganzzahlenüberlauf provozieren, über den sie notepad.exe mit Systemrechten starten konnten. Da createImageBitmap() in der Sandbox läuft, wurde zusätzlich ein Fehler im Windows-Kernel benötigt, um die notwendigen Rechte zu erlangen. Hierbei half ein nicht initialisierter Puffer im Windows-Kernel. Der erfolgreiche Angriff wurde mit 30.000 US-Dollar und 9 "Master of Pwn"-Punkten belohnt. In der Endabrechnung belegte das Team von Chaitin Security Research Lab den dritten Rang mit 26 Punkten und 90.000 US-Dollar. Aufgrund der Sicherheitskorrektur können die experimentellen Erweiterungen der createImageBitmap-API im Firefox 52.0.1 nicht genutzt werden.

Download:
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten