Die Programmierer der Mozilla-Stiftung haben zwei kritische Sicherheitslücken im Webbrowser Firefox und eine in Firefox ESR behoben. Die Sicherheitslücken, die im Security-Advisory zu Firefox 124.0.1 aufgeführt sind, stellen potenzielle Risiken für Nutzer dar.
Die erste Lücke ermöglicht es Angreifern, außerhalb der vorgesehenen Speichergrenzen eines Javascript-Objekts zu lesen oder zu schreiben, indem sie einen Range-based bounds check elimination-Mechanismus täuschen. Diese Schwachstelle wird als kritisch eingestuft. Die zweite Lücke betrifft ebenfalls Javascript und ermöglicht es Angreifern, einen Event Handler in ein privilegiertes Objekt einzuschleusen, um beliebigen Javascript-Code im Parent-Prozess mit hohen Rechten auszuführen. Auch diese Schwachstelle wird als kritisch bewertet. Es wird darauf hingewiesen, dass diese Lücken nicht nur Desktop-Versionen von Firefox, sondern auch ältere Versionen und Firefox ESR betreffen, einschließlich Firefox 124.0 und ältere Fassungen sowie Firefox ESR 115.9 und ältere. Obwohl die genauen Angriffsszenarien nicht beschrieben werden, reicht es in der Regel aus, sorgfältig präparierte Webseiten anzuzeigen, um diese Schwachstellen auszunutzen.
