2359030

Sicherheitslücken in Firefox und Tor Browser geschlossen

27.06.2018 | 09:24 Uhr |

Mozilla hat Firefox 61.0 freigegeben und darin mehr als 18 Schwachstellen beseitigt. Updates gibt es auch für Firefox ESR und Tor Browser.

Mozilla verteilt das Update auf Firefox 61.0. Die meisten Neuerungen in Firefox 61 haben wir bereits vorgestellt. Mozilla hat inzwischen auch die Sicherheitsmitteilungen zur neuen Browser-Version veröffentlicht. Demnach haben die Entwickler in Firefox 61.0 mindestens 18 Lücken gestopft. Für Firefox ESR gibt es Updates auf die neuen Versionen 60.1 sowie 52.9. Der auf Firefox ESR basierende Tor Browser ist in der neuen Version 7.5.6 erhältlich.

Im Security Advisory MFSA2018-15 führt Mozilla 15 Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und gemeldet wurden. Drei dieser Schwachstellen stuft Mozilla als kritisch ein. Mit einer mittleren Einstufung versieht der Browser-Hersteller eine weitere vorsorgliche Schutzmaßnahme gegen Angriffe auf die Spectre-Lücken in PC-Prozessoren (CVE-2018-12367).

Weitere drei Einträge im Advisory enthalten intern entdeckte Schwachstellen, die Mozilla nach den betroffenen Browser-Varianten unterteilt. Über Anzahl und Art der Lücken macht Mozilla wie üblich keine näheren Angaben. Es heißt lediglich, es handele sich um Fehler in der Speicherbehandlung, die sich möglicherweise ausnutzen ließen, um Code einzuschleusen und auszuführen.

Eine Neuerung in Firefox 61 ist das Blockieren solcher Ressourcen (etwa Bilder oder iFrames), die per FTP in HTTP(S)-Seiten eingebunden werden. Das betagte File Transfer Protocol (FTP) ist unverschlüsselt, sodass alle darüber gesendeten Daten ausgespäht werden könnten. Außerdem wird FTP nach Aussage von Christoph Kerschbaumer aus dem Mozilla Security Team bei etlichen Malware-Kampagnen benutzt, um schädliche Programme auf die Rechner der Opfer zu schaufeln. Dieser FTP-Sperrfilter betrifft jedoch nicht den direkten Zugriff auf FTP-Server per Browser.

Neu sind auch Firefox ESR 60.1.0 und Firefox ESR 52.9.0 (ESR: Extended Support Release). Darin sind jeweils Untermengen der oben genannten Lücken beseitigt worden, soweit sie die jeweilige Browser-Variante betreffen. Davon profitiert auch der Tor Browser , dessen neue Version 7.5.6 auf Firefox ESR 52.9.0 basiert. Im neuen Tor Browser ebenfalls aktualisiert sind Tor, Tor Launcher, HTTPS Everywhere und NoScript.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2359030