Mozilla meldet 271 mit Anthropic entdeckte Sicherheitslücken in Firefox

Das Wichtigste

• Mozilla hat nach eigenen Angaben mit Firefox 150 insgesamt 271 Sicherheitslücken geschlossen.
• MFSA 2026-30 nennt zahlreiche CVEs, darunter Speicherfehler, Use-after-free-Probleme und Fälle von Rechteausweitung.
• Betroffen sind private und verwaltete Firefox-Installationen, Mozilla verteilt die Korrekturen über Firefox 150.

Mozilla veröffentlicht Firefox 150 mit 271 behobenen Lücken

Mozilla hat am Dienstag mit Firefox 150 nach eigenen Angaben 271 Firefox Sicherheitslücken behoben, die mit einer frühen Vorschau von Anthropic Mythos entdeckt wurden. Das Unternehmen veröffentlichte dazu einen Blogbeitrag und die Sicherheitswarnung MFSA 2026-30. Die Korrekturen betreffen den regulären Firefox-Kanal und reichen nach Mozillas Angaben von Speicherfehlern bis zu Problemen, die eine Ausführung von Schadcode ermöglicht haben könnten.

In dem Blogbeitrag nennt Mozilla die Zahl 271 ausdrücklich. Die Advisory selbst führt zahlreiche einzelne CVE-Nummern und betroffene Komponenten auf, darunter DOM, JavaScript, WebAssembly, WebRTC, WebGPU und die Kryptografie-Bibliothek NSS. Mehrere Einträge nennen Forschende, die ihre Meldungen mit “Claude from Anthropic” eingereicht oder verifiziert haben.

Advisory nennt Speicherfehler und Rechteausweitung

MFSA 2026-30 beschreibt unter anderem Use-after-free-Fehler, uninitialisierten Speicher mit möglichem Informationsabfluss, Mitigation-Bypässe, Integer-Overflows und Fälle von Rechteausweitung. Mozilla schreibt, einige der Memory-Safety-Probleme hätten zur Ausführung von beliebigem Code führen können. Einzelne Einträge betreffen Kernbereiche des Browsers wie die JavaScript-Engine, Canvas2D, IndexedDB und Web Codecs.

Eine vollständige Sammelübersicht mit allen 271 Befunden in derselben Zählweise enthält die Advisory nicht. Die offizielle Zahl stammt aus dem Mozilla-Blog, während die Sicherheitswarnung die Korrekturen über einzelne CVE- und Bug-Einträge dokumentiert. Mozilla hatte bereits bei Firefox 148 über 22 mit einem früheren Anthropic-Modell gefundene sicherheitsrelevante Fehler berichtet.

Update betrifft private Installationen und verwaltete Umgebungen

Unmittelbar betroffen sind Firefox-Installationen, die noch nicht auf Version 150 aktualisiert wurden. Für Unternehmen ist der Vorgang vor allem wegen der Breite der betroffenen Komponenten relevant, weil damit Speicherverwaltung, Medienverarbeitung und Web-Schnittstellen zugleich berührt sind. In verwalteten Umgebungen müssen Administratoren zusätzlich prüfen, welche Korrekturen parallel für Extended Support Release-Versionen bereitstehen.

KI-Prüfung rückt näher an den Release-Prozess

Für Mozilla ist der Vorgang ein konkreter Anwendungsfall für KI-gestützte Sicherheitsprüfung im Browserbau. Die jetzt genannte Zahl liegt deutlich über den 22 Befunden, die Mozilla nach eigenen Angaben bei Firefox 148 mit Anthropic Opus 4.6 gefunden hatte. Relevant ist dabei weniger ein einzelner Fehler als die Frage, ob große Sprachmodelle künftig regelmäßig vor einer Veröffentlichung in die Suche nach Schwachstellen eingebunden werden.

Weitere Details folgen über CVE- und Bugzilla-Einträge

Als nächster bestätigter Schritt gilt die Verteilung von Firefox 150 über die üblichen Update-Kanäle. Technische Einzelheiten zu den jeweiligen Fehlern werden bei Mozilla in der Regel über CVE-Listen und verknüpfte Bugzilla-Einträge nachvollziehbar. Ob und in welchem Umfang weitere Anthropic-gestützte Prüfungen in künftige Firefox-Versionen einfließen, ist bislang offen.

Offizielle Zahl und technische Dokumentation greifen ineinander

Browser-Hersteller veröffentlichen regelmäßig Sammelupdates mit Sicherheitskorrekturen. Neu an diesem Fall ist die offizielle Verknüpfung eines einzelnen Releases mit einem KI-System von Anthropic und die ausdrücklich genannte Zahl von 271 Befunden. Die technische Detailtiefe liegt dabei wie üblich in den Sicherheits- und Bug-Einträgen, nicht im Blogbeitrag selbst.