Firefox 150.0.3 schließt kritische Sicherheitslücken

Mozilla hat am 13. Mai 2026 ein wichtiges Sicherheits-Update für den Firefox-Browser veröffentlicht. Die Version 150.0.3 schließt insgesamt fünf Sicherheitslücken, die als hochriskant eingestuft werden. Diese Maßnahme erfolgt im Kontext einer kürzlich demonstrierten Exploit-Kette, die von einem bis dahin wenig bekannten Sicherheitsforscher, der sich "ggwhyp" nennt, entwickelt wurde. Die Exploit-Kette, die ursprünglich für den Hacker-Wettbewerb Pwn2own in Berlin vorbereitet wurde, zeigt, wie eine HTML-Seite im Browser zu einem Ausbruch aus der Sandbox führen kann.

Der Forscher demonstrierte, dass der Exploit bis zur Systemebene von Windows führt, indem er eine Textkonsole mit cmd.exe öffnete und schließlich den Windows-Taschenrechner aufrief. Diese Art von Demonstration ist typisch für Sicherheitswettbewerbe. Obwohl "ggwhyp" von den Veranstaltern des Pwn2own abgewiesen wurde, entschied er sich, seine Entdeckung direkt an Mozilla weiterzugeben. Dies stellt eine verantwortungsvolle Offenlegung dar, da der Exploit-Code nicht öffentlich zugänglich ist. Die Sicherheitslücken, die in diesem Update behoben wurden, sind alle als hochriskant eingestuft, was die Dringlichkeit des Updates unterstreicht.

Von den fünf geschlossenen Sicherheitslücken sind vier direkt "ggwhyp" zugeordnet. Die fünfte Schwachstelle, identifiziert als CVE-2026-8390, ist eine Use-after-free-Lücke in Javascript, die offenbar mit einem KI-Tool von OpenAI entdeckt wurde. Diese Schwachstelle ist besonders kritisch, da sie es Angreifern ermöglichen könnte, schädlichen Code auszuführen. Ein zentrales Element der Exploit-Kette ist die Schwachstelle CVE-2026-8401, die den Ausbruch aus der Browser-Sandbox ermöglicht. Sollte ein anderer Teilnehmer des Pwn2own-Wettbewerbs diese Sicherheitslücke für seinen Beitrag nutzen wollen, muss er sich nun schnell nach einer alternativen Strategie umsehen.

Die Entdeckung dieser Lücke könnte erhebliche Auswirkungen auf die Wettbewerbsbedingungen haben. Zusätzlich zu den sicherheitsrelevanten Änderungen hat Mozilla auch einen Fehler behoben, der dazu führte, dass in Formularfelder eingegebene Passwörter beim Drucken und in der Druckvorschau im Klartext angezeigt wurden. Dies stellt ein weiteres Sicherheitsrisiko dar, das nun behoben ist. Die Entwickler von Mozilla betonen die Wichtigkeit, den Browser stets auf dem neuesten Stand zu halten, um die Sicherheit der Nutzer zu gewährleisten. Firefox 150.0.2, das zuvor veröffentlicht wurde, hatte bereits weitere Schwachstellen beseitigt.

Mozilla plant, mit der nächsten Version 151, die am 19. Mai 2026 erscheinen soll, wöchentliche Sicherheits-Updates für Firefox einzuführen. Dies folgt dem Beispiel von Google, das bereits seit längerer Zeit wöchentliche Updates für Chrome bereitstellt. Die Sicherheitslücken, die mit diesem Update geschlossen wurden, betreffen eine Vielzahl von Nutzern weltweit. Mozilla hat die Nutzer aufgefordert, das Update umgehend zu installieren, um sich vor möglichen Angriffen zu schützen.

Die schnelle Reaktion auf die Entdeckung der Exploit-Kette zeigt das Engagement von Mozilla für die Sicherheit seiner Nutzer. Die Sicherheitslücke CVE-2026-8401 ist besonders besorgniserregend, da sie es Angreifern ermöglicht, die Sandbox-Beschränkungen des Browsers zu umgehen. Dies könnte zu einer Vielzahl von Angriffen führen, die die Integrität des Systems gefährden. Mozilla hat betont, dass die Sicherheit der Nutzer höchste Priorität hat und kontinuierlich an der Verbesserung der Sicherheitsarchitektur gearbeitet wird.

Entdeckung und verantwortungsvolle Offenlegung dieser Schwachstellen durch "ggwhyp" wird als Beispiel für die Bedeutung von Sicherheitsforschung in der heutigen digitalen Landschaft angesehen. Die Zusammenarbeit zwischen Sicherheitsforschern und Softwareentwicklern ist entscheidend, um die Sicherheit von Softwareprodukten zu gewährleisten. Die nächste Version von Firefox, 151, wird am 19. Mai 2026 veröffentlicht und soll die Sicherheitsstrategie von Mozilla weiter stärken.