Firefox

Die Schwachstelle steckt im WebGPU-Teil von Mozilla Firefox – jener Funktion, über die Webinhalte für aufwendige Grafik- und Rechenaufgaben auf die Grafikhardware zugreifen. Genauer betroffen ist die interne Kommunikation zwischen den Prozessen (IPC), über die Firefox solche Aufträge weiterreicht. Erhält dieser Mechanismus eine unerwartete, präparierte Nachricht, greift das Programm auf einen Speicherbereich zu, der bereits freigegeben wurde (Use-after-free). Diesen Zustand kann ein Angreifer gezielt herbeiführen und ausnutzen, um aus der Sandbox auszubrechen – also jener Schutzschicht, die Webinhalte vom restlichen System abschotten soll – und letztlich eigenen Code auszuführen. Als Einfallstor genügt eine entsprechend gestaltete Webseite. Nach vorliegenden Berichten wird die Lücke bereits aktiv für Angriffe missbraucht. Neben dem Desktop-Browser sind auch die Android-Version, die verlängert gepflegte Ausgabe, der fokussierte Mobil-Browser sowie das E-Mail-Programm desselben Herstellers betroffen.