Bereits zum zweiten Mal in diesem Monat muss Mozilla in Firefox eine 0-Day-Lücke stopfen, die zunächst nur Chrome und seine Derivate zu betreffen schien. Die Schwachstelle CVE-2023-5217 in der Programmbibliothek libvpx wird bereits für Angriffe auf Chrome-Nutzer verwendet. Google hatte am Abend des 27. September ein Notfall-Update für seinen Browser Chrome herausgebracht, um diese Lücke zu schließen. Am Tag darauf hat Mozilla mit den Updates auf Firefox 118.0.1 sowie Firefox ESR 115.3.1 nachgezogen. Auch in Firefox für Android 118.1.0 ist die Schwachstelle behoben.
Die quelloffene Programmbibliothek libvpx dient zum Kodieren von Videos. Bei der Sicherheitslücke CVE-2023-5217 handelt es sich um einen Pufferüberlauf in libvpx beim Kodieren von Videos im VP8-Format. Nutzt ein Angreifer diese Lücke aus, kann eingeschleuster Schadcode ausgeführt werden. Dazu könnte er ein präpariertes Video in eine beliebige Web-Seite einbinden und potenzielle Opfer auf die Seite locken, etwa mit einem Link in einer Mail oder per Messenger-App.
Entsprechende Angriffe auf Firefox sind zwar derzeit nicht bekannt, dennoch sollten alle Firefox-Nutzer umgehend das bereitstehende Update einspielen. Rufen Sie dazu im ≡ Menü Hilfe > Über Firefox auf und folgen Sie den Anweisungen. Mozilla stuft diese Sicherheitslücke in seinem Sicherheitsbericht als kritisch ein.
Update 2. Oktober
Am 29. September hat das Tor Projekt seinen Browser aktualisiert, um die 0-Day-Lücke CVE-2023-5217 zu schließen. Für Tor Browser 12.5.6 haben die Entwickler den entsprechenden Sicherheits-Patch aus Firefox ESR 115.3.1 auf die alte Browser-Basis zurückportiert, denn Tor Browser 12.5.x basiert noch auf Firefox ESR 102.15.
Ebenfalls am 29. September hat die Mozilla-Tochter MZLA Technologies ein Sicherheits-Update für Thunderbird bereitgestellt. In Thunderbird 115.3.1 haben die Entwickler die 0-Day-Lücke CVE-2023-5217 beseitigt – und gleich noch ein paar Bugs. Update Ende
▶Die neuesten Sicherheits-Updates
Die Programmbibliothek libvpx wurde ursprünglich von dem auf Video-Codecs spezialisierten Unternehmen On2 Technologies entwickelt, das Google 2010 übernommen hat. Google hat die Software anschließend als Open Source freigegeben. Sie unterstützt die Videoformate VP8 und VP9. Viele Open-Source-Projekte nutzen solche Standardbibliotheken, die zum Teil auch als Referenzimplementierung angesehen werden.
Das hatten wir doch gerade erst
Bereits Mitte September hatte Google ein Notfall-Update für Chrome bereitgestellt, um eine 0-Day-Lücke im Browser zu schließen. Die Schwachstelle CVE-2023-4863 in der quelloffenen Programmbibliothek libwebp kann mit präparierten Bilddateien im WebP-Format ausgenutzt werden. Auch in Firefox kommt diese Programmbibliothek zum Einsatz. Wie sich inzwischen herausgestellt hat, ist eine Vielzahl weiterer Programme betroffen, deren Entwickler diese Bibliothek benutzen. So sollen etwa Gimp, LibreOffice, Telegram, 1Password und viele andere potenziell anfällig sein.
Ob sich ein solches Debakel mit der Schwachstelle CVE-2023-5217 in der Programmbibliothek libvpx wiederholt, werden die nächsten Tage zeigen. Zum Beispiel nutzt auch der beliebte VLC Media Player die libvpx, ebenso andere Open Source Media Player und Videokonverter wie MPlayer oder Handbrake.
Business, Online Services, Security Software and Services