Die Mozilla-Entwickler haben zwei kritische Sicherheitslücken mit dem Update auf Firefox 124.0.1 und Firefox ESR 115.9.1 geschlossen.

Das Security-Advisory zu Firefox 124.0.1 listet zwei kritische Sicherheitslücken auf, die die neue Version abdichtet. Angreifer könnten außerhalb der vorgesehenen Speichergrenzen eines Javascript-Objekts lesen oder schreiben.

Das soll mit einer Täuschung eines sogenannten „Range-based bounds check elimination“-Mechanismus (CVE-2024-29943, kein CVSS, Risiko laut Mozilla „kritisch„) gelungen sein. Grundsätzlich verbirgt sich dahinter eine Prüfung, ob Speichergrenzen eingehalten werden.

Die zweite kritische Schwachstelle betrifft ebenfalls Javascript. Angreifer konnten einen Event Handler in ein privilegiertes Objekt einschleusen und so beliebigen Javascript-Code im Parent-Prozess mit hohen Rechten ausführen (CVE-2024-29944, kein CVSS, kritisch). Diese Lücke betrifft lediglich die Desktop-Versionen der Webbrowser, aber neben Firefox 124.0 und älteren Fassungen auch Firefox ESR 115.9 und ältere. 

https://www.heise.de/news/Firefox-Notfall-Update-schliesst-kritische-Sicherheitsluecken-9664148.html