Preise werden geladen…
🔥BULLISH

Firefox patcht 423 Sicherheitslücken in 30 Tagen mit Claude Mythos

Mozilla hat 14 Monate Sicherheitsarbeit in einem Monat konzentriert – mithilfe modellgestützter Suche. Das Bug-Bounty-Programm, das seit 2006 läuft, liefert den bisher saubersten Beleg dafür, dass Frontier-KI die…

Mozilla hat im April 2026 423 Firefox-Sicherheitspatches ausgeliefert – ungefähr so viele wie in den gesamten vorhergehenden 14 Monaten zusammen – nachdem das Unternehmen Zugriff auf Anthropics Claude Mythos Preview erhielt. Allein das Release 150 brachte 271 Fixes mit sich – 180 als sec-high, 80 als sec-moderate, 11 als sec-low eingestuft – weitere Patches verteilten sich auf 149.0.2, 150.0.1 und 150.0.2. Unter den offengelegten Beispielen: ein 20 Jahre altes XSLT-Reentrancy-Problem (Bug 2025977), bei dem key()-Aufrufe den Hintergrundspeicher freigeben und einen rohen Zeiger aktiv hinterlassen konnten, ein 15 Jahre alter Fehler im HTML-Element (Bug 2024437), ein WebAssembly-GC-Bug, der eine Fake-Object-Primitive für beliebiges Lesen oder Schreiben liefern konnte, IPC-Race-Conditions, die die Referenzzähler im Elternprozess betrafen, eine rohe NaN-Deserialisierung über eine IPC-Grenze hinweg sowie ein Stack-Speicherleck im Elternprozess beim DNS-Parsing.

Warum das wichtig ist

Firefox gehört zu den am intensivsten auditierten Browsern überhaupt – zwei Jahrzehnte lang geprüft von internen Teams, externen Forschern, Fuzzern und Bug-Bounty-Huntern. Dass ein 20 Jahre alter XSLT-Defekt dieser Prüfung standgehalten hat, ist der stärkste einzelne Datenpunkt dafür, wie lange ausnutzbar wirkende Fehler in ausgereiften Codebasen fortbestehen können – und wie sich die Kosten für ihre Entdeckung verschoben haben. Mozilla schrieb die Leistung zwar Claude Mythos Preview zu, betonte jedoch, das Modell sei nur die eine Hälfte des Ergebnisses gewesen. Die andere Hälfte war eine Harness, die das Unternehmen baute, um das Modell auf bestimmte Codebereiche zu lenken, reproduzierbare Testfälle zu erzeugen, Rauschen herauszufiltern, Funde zu deduplizieren, den Schweregrad zu triagieren und bestätigte Bugs in den Sicherheits-Lebenszyklus zu überführen. Mehr als 100 Personen trugen Code zu dem Härtungslauf bei. Ohne dieses operative Gerüst wäre der Output des Modells an seiner schieren Menge erstickt – dieselbe Rauschlast, die frühere KI-generierte Sicherheitsmeldungen für Open-Source-Maintainer unbrauchbar gemacht hatte.

Marktauswirkung

Die Asymmetrie ist die eigentliche Geschichte. Ein böswilliger Akteur mit Mythos-ähnlichem Werkzeug vor Mozillas April-Lauf hätte über eine breitere Suchfläche, schnellere Erzeugung von Proof-of-Concepts und einen tieferen Vorrat an verkettbaren Primitiven verfügt – einschließlich Kandidaten für Sandbox-Escapes, die Präzision statt schiere Skala erfordern. Für den Krypto-Stack ist die Implikation direkt: Browser sitzen zwischen Nutzern und Börsen, Wallets, Bridges, Custody-Dashboards, Governance-Portalen und Admin-Konsolen. Eine Kompromittierung auf Browser-Ebene gegen einen gezielt ins Visier genommenen Nutzer kann Sessions übernehmen, Transaktionsdetails vor dem Signieren manipulieren, Wallet-Dialoge einschleusen oder von der Maschine eines Entwicklers in die operative Infrastruktur pivotieren.

Häufig gestellte Fragen

  1. Was ist der 20 Jahre alte Bug, den Mozilla in Firefox offengelegt hat?

    Bug 2025977 ist ein XSLT-Reentrancy-Problem, bei dem key()-Aufrufe ein Rehash der Hashtabelle auslösen, Hintergrundspeicher freigeben und einen rohen Eintragszeiger aktiv lassen konnten. Es ist eines der offengelegten Beispiele aus Mozillas Patch-Welle im April 2026 und zeigt, wie lange ausnutzbar wirkende Fehler in…

  2. Wie viele Sicherheitslücken hat Firefox im April 2026 gepatcht?

    Mozilla hat im April 2026 423 Firefox-Sicherheitspatches ausgeliefert, davon allein 271 im Firefox-Release 150 – 180 als sec-high, 80 als sec-moderate und 11 als sec-low eingestuft. Weitere Fixes landeten in 149.0.2, 150.0.1 und 150.0.2.

  3. Wie hat Anthropics Claude Mythos Preview Mozilla bei der Bugsuche geholfen?

    Mozilla erklärte Claude Mythos Preview zum zentralen Faktor für den Entdeckungsdurchsatz, baute aber zusätzlich eine Harness um das Modell, die es auf bestimmte Codebereiche lenkte, reproduzierbare Testfälle erzeugte, Rauschen filterte, Funde deduplizierte, den Schweregrad triagierte und bestätigte Bugs in den…

  4. Warum ist das für Krypto-Nutzer relevant?

    Browser sitzen zwischen Nutzern und Börsen, Wallets, Bridges, Custody-Dashboards, Governance-Portalen und Admin-Konsolen. Eine Kompromittierung auf Browser-Ebene kann Sessions übernehmen, Transaktionsdetails vor dem Signieren manipulieren, schädliche Wallet-Dialoge einschleusen, Anmeldedaten abfangen oder von der…

  5. Was ist die Verteidiger-Angreifer-Asymmetrie in der KI-gestützten Sicherheit?

    Angreifer brauchen weniger bestätigte Ergebnisse, können Funde geheim halten und eine enge Zielgruppe ins Visier nehmen. Verteidiger müssen breit patchen, Regressionen vermeiden, Releases koordinieren und langsam aktualisierende Nutzer schützen. Mozillas April-Welle zeigt, dass der Vorteil der Verteidiger weiterhin…

Quellenangabe
Aggregiert von CryptoSlate · Verifiziert · Zuletzt aktualisiert vor 57d
Original öffnen →