Hilfe-Center
Login
Login

Wie können wir helfen?

Allgemeine Themen:

AI, Tickets, Agents
Hilfe-Center
In this Article:
    1. Atera Support
    2. Bibliothek
    3. Besondere Hinweise

    Mozilla-Sicherheitslücke (CVE-2024-9680)

    Dragos Gabriel Tulbure

    Eine kritische Sicherheitslücke, CVE-2024-9680, wurde in Firefox und Firefox Extended Support Release (ESR) entdeckt. Diese Schwachstelle wird aktiv ausgenutzt und setzt Benutzer dem Risiko der Remote-Code-Ausführung (RCE) aus. Das Problem entsteht durch einen Use-after-free-Fehler in der Animationszeitleistenkomponente des Browsers.

    Die Schwachstelle wurde mit einem CVSS-Score von 9,8 bewertet, was auf ein kritisches Schweregradniveau hinweist. Benutzern wird dringend empfohlen, ihre Browser sofort auf die neuesten Versionen zu aktualisieren, um das Risiko zu mindern.

     

    Wichtige Details

    • Schwachstellen-ID: CVE-2024-9680
    • CVSS-Score: 9,8 (Kritisch)
    • Betroffene Komponente: Animationszeitleistenkomponente in Firefox
    • Typ: Use-after-free-Schwachstelle
    • In freier Wildbahn ausgenutzt: Ja
    • Auswirkung: Remote-Code-Ausführung (RCE)

     

    Auswirkungen der Ausnutzung

    Ein Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code innerhalb des Inhaltsprozesses des Browsers auszuführen. Dies könnte potenziell Angreifern ermöglichen, Malware zu installieren oder unbefugten Zugriff auf das System des Opfers zu erlangen.

    Mozilla hat erklärt, dass sie eine "vollständige Exploit-Kette" von ESET erhalten haben, die zeigt, wie diese Schwachstelle genutzt werden kann, um RCE auf einem Zielrechner durchzuführen. Obwohl spezifische Ausnutzungsmethoden nicht offengelegt wurden, umfassen typische Ausnutzungsvektoren:

    • Watering-Hole-Angriffe: Zielgerichtete Angriffe auf bestimmte Websites, um Besucher zu infizieren.
    • Drive-by-Download-Kampagnen: Benutzer dazu verleiten, bösartige Websites zu besuchen.

     

    Betroffene Versionen

    Die folgenden Versionen von Firefox und Firefox ESR sind anfällig:

    • Firefox 131.0.1 und frühere Versionen.
    • Firefox ESR 128.3.0 und frühere Versionen.
    • Firefox ESR 115.16.0 und frühere Versionen.

     

    Behobene Versionen

    Das Problem wurde in den folgenden Versionen behoben:

    • Firefox 131.0.2
    • Firefox ESR 128.3.1
    • Firefox ESR 115.16.1

    Benutzer sollten auf diese Versionen oder neuere aktualisieren, um sicherzustellen, dass sie vor der Schwachstelle geschützt sind.

     

    Empfehlungen

    Um sich gegen diese kritische Schwachstelle zu schützen, wird Benutzern empfohlen:

    1. Aktualisieren Sie sofort auf die neueste Version von Firefox oder Firefox ESR:

      • Firefox-Benutzer sollten auf 131.0.2 upgraden.
      • Firefox ESR-Benutzer sollten auf 128.3.1 oder 115.16.1 upgraden.

    2. Überprüfen Sie Ihre Browserversion, indem Sie zu Hilfe > Über Firefox navigieren, um sicherzustellen, dass Sie eine gepatchte Version verwenden.

     

    Aktualisierung mit Atera

    Um die kritische Sicherheitslücke CVE-2024-9680 zu beheben, können Sie Firefox direkt über Atera auf eine sichere Version aktualisieren. Die Software-Update-Funktion von Atera, die in den IT-Automatisierungsprofilen verfügbar ist, ermöglicht es Ihnen, den Patch-Prozess für alle verwalteten Geräte zu automatisieren.

     

    Schritte zur Aktualisierung von Firefox:

    1. Melden Sie sich in Ihrem Atera-Konto an.
    2. Navigieren Sie zu Admin > IT-Automatisierung.
    3. Wählen Sie das relevante IT-Automatisierungsprofil für die Geräte aus, die das Firefox-Update benötigen.
    4. Stellen Sie sicher, dass Software-Updates im Profil aktiviert sind.
    5. Übernehmen Sie die Änderungen und führen Sie das Profil aus, um das Firefox-Update auf allen ausgewählten Geräten bereitzustellen.

    Für detaillierte Schritte lesen Sie bitte den folgenden Artikel:

     

    Dies stellt sicher, dass alle Systeme auf die neueste sichere Version aktualisiert werden und vor der aktiven Ausnutzung von CVE-2024-9680 geschützt sind.

     

    Wichtiger Hinweis: Für Firefox ESR 128.3.1 und Firefox ESR 115.16.1 ist es nicht möglich, die Funktion Software-Update innerhalb der IT-Automatisierungsprofile zu verwenden. Sie haben die Möglichkeit, die neuesten Versionen als Skript in Atera hochzuladen und sie entweder manuell auf Ihren Geräten auszuführen oder das Skript in einem IT-Automatisierungsprofil zuzuweisen.

     

     

    Copyright © Atera Networks Ltd.2023

    apple store app google play app

    AICPA SOC for Service Organizations and ISO 27001 certified