Kritische Schwachstelle in OpenH264 gefährdet Firefox-Nutzer

In der von Cisco entwickelten OpenH264-Bibliothek, die für die Kodierung und Dekodierung von Videos im H.264-Format verwendet wird, wurde eine kritische Sicherheitslücke entdeckt. Diese Schwachstelle ermöglicht es Angreifern, einen Pufferüberlauf zu verursachen, der zu einem Absturz der Software führen oder potenziell die Ausführung von Schadcode ermöglichen kann. Besonders besorgniserregend ist, dass OpenH264 standardmäßig als Plug-in im Firefox-Browser integriert ist, was zahlreiche Nutzer gefährdet.

Die Sicherheitslücke, identifiziert als CVE-2025-27091, weist einen CVSS-Schweregrad von 8,6 auf, was sie als hochriskant einstuft. Die Ausnutzung dieser Schwachstelle erfordert keine besonderen Zugriffsrechte und kann remote über das Netzwerk erfolgen. Sie beruht auf einer Race Condition zwischen der Speicherzuweisung für das Sequence Parameter Set (SPS) und der anschließenden Speicherverwendung durch eine Network Abstraction Layer (NAL)-Einheit. Ein Angreifer muss lediglich das Opfer dazu bringen, ein speziell präpariertes Video abzuspielen, um die Lücke auszunutzen.

Betroffen sind alle OpenH264-Versionen bis einschließlich 2.5.0. Die Entwickler haben die Schwachstelle in der Version 2.6.0 behoben. Es wird dringend empfohlen, die Bibliothek auf die neueste Version zu aktualisieren, um potenzielle Angriffe zu verhindern.

HAL9001