Firefox 150.0.3 schließt kritische Sicherheitslücken

Mozilla hat am 13. Mai 2026 ein wichtiges Sicherheits-Update für den Firefox-Browser veröffentlicht. Die Version 150.0.3 schließt insgesamt fünf Sicherheitslücken, die als hochriskant eingestuft werden. Diese Maßnahme erfolgt im Kontext einer kürzlich entdeckten Exploit-Kette, die von einem bis dahin unbekannten Sicherheitsforscher demonstriert wurde. Der Sicherheitsforscher, der sich unter dem Pseudonym ggwhyp präsentiert, hatte eine mehrteilige Exploit-Kette entwickelt, die auf einer HTML-Seite im Browser beginnt und bis zur Ausführung von cmd.exe führt.

Diese Kette endet mit dem Aufruf des Windows-Taschenrechners, was als typischer Demo-Exploit gilt. Ursprünglich plante ggwhyp, seine Entdeckung beim Hacker-Wettbewerb Pwn2own in Berlin zu präsentieren, der am 14. Mai 2026 beginnt. Trend Micro ZDI, der Veranstalter des Wettbewerbs, wies ggwhyp jedoch ab. Daraufhin entschied sich der Forscher, die Informationen direkt an Mozilla weiterzugeben, was als verantwortungsvolle Offenlegung (responsible disclosure) gilt.

Der Exploit-Code wurde nicht öffentlich gemacht, um potenzielle Angriffe zu verhindern. Die zentrale Schwachstelle in der Exploit-Kette ist die als CVE-2026-8401 klassifizierte Sicherheitslücke, die einen Ausbruch aus der Browser-Sandbox ermöglicht. Diese Entdeckung könnte für andere Teilnehmer des Pwn2own-Wettbewerbs problematisch sein, da sie möglicherweise auf dieselbe Schwachstelle setzen wollten. Zusätzlich zu den von ggwhyp entdeckten Schwachstellen schließt das Update auch eine fünfte Sicherheitslücke, die als CVE-2026-8390 identifiziert wurde. Diese betrifft eine Use-after-free-Lücke in Javascript und wurde offenbar mit einem KI-Tool von OpenAI entdeckt.

Die Schließung dieser Lücken ist entscheidend, um die Sicherheit der Nutzer zu gewährleisten. Mozilla hat angekündigt, dass die nächste Version von Firefox, 151, am 19. Mai 2026 erscheinen soll. Ab diesem Datum plant das Unternehmen, wöchentliche Sicherheits-Updates für den Browser bereitzustellen. Dies ist eine Reaktion auf die zunehmenden Bedrohungen im Bereich der Cybersicherheit und orientiert sich an den Praktiken von Google, das bereits ähnliche Maßnahmen für Chrome implementiert hat.

Ein weiterer Fehler, der in der vorherigen Version 150.0.2 behoben wurde, betraf die Anzeige von Passwörtern in Formularfeldern. Diese wurden beim Drucken und in der Druckvorschau im Klartext angezeigt, anstatt mit „****“ maskiert zu sein. Solche Sicherheitslücken können das Risiko von Datenlecks erhöhen und wurden daher umgehend adressiert. Mozilla empfiehlt den Nutzern, ihren Browser stets auf dem neuesten Stand zu halten und zusätzlich geeignete Antivirus-Software zu verwenden, um die Sicherheit ihrer Systeme zu erhöhen. Die Kombination aus regelmäßigem Update und zusätzlicher Sicherheitssoftware kann dazu beitragen, potenzielle Angriffe zu verhindern.

Die Sicherheitslücken, die mit dem Update geschlossen wurden, betreffen nicht nur Firefox-Nutzer, sondern können auch Auswirkungen auf die allgemeine Sicherheit von Windows-Systemen haben. Die Entdeckung und Behebung solcher Schwachstellen ist ein fortlaufender Prozess, der für die Sicherheit aller Internetnutzer von entscheidender Bedeutung ist. Mozilla hat sich verpflichtet, die Sicherheit seiner Produkte kontinuierlich zu verbessern und auf neue Bedrohungen schnell zu reagieren. Die Veröffentlichung des Updates 150.0.3 ist ein weiterer Schritt in diese Richtung und zeigt das Engagement des Unternehmens für die Sicherheit seiner Nutzer. Die Sicherheitslücke CVE-2026-8401 ist besonders kritisch, da sie es Angreifern ermöglichen könnte, die Kontrolle über Systeme zu übernehmen, die den Firefox-Browser verwenden.