Firefox

Die Schwachstelle steckt im Webbrowser Firefox von Mozilla, konkret in der Verarbeitung von SVG-Zoom-Ereignissen. Beim Auslesen der Skalierungswerte – des vorherigen und des neuen Zoomfaktors eines SVG-Zoom-Ereignisses – initialisiert der Browser die zugehörigen Datenstrukturen nicht ordnungsgemäß. Dadurch enthalten diese Felder noch alte, nicht überschriebene Inhalte aus dem Arbeitsspeicher. Ein Angreifer kann eine eigens präparierte Webseite gestalten, die diese Ereignisse gezielt auslöst und die ausgelesenen Werte abgreift. Auf diese Weise gelangt er an Daten aus dem Speicher des Browserprozesses, die nicht für ihn bestimmt sind und vertrauliche Informationen enthalten können. Der Angriff funktioniert aus der Ferne und erfordert lediglich, dass das Opfer die manipulierte Seite aufruft. Betroffen sind Nutzer, die mit Firefox solche Webinhalte öffnen; dieselbe fehlerhafte Behandlung der Datenstrukturen wirkt sich auch auf das E-Mail-Programm Thunderbird desselben Herstellers aus.