2237960

Mozilla schließt 0-Day-Lücke in Firefox

01.12.2016 | 09:04 Uhr |

In Firefox einschließlich ESR und Tor Browser gibt es eine kritische Sicherheitslücke, die bereits für Angriffe ausgenutzt wird. Updates für Firefox und Tor Browser sind inzwischen verfügbar.

Mozilla hat am Abend des 30. November ein wichtiges Sicherheits-Update für Firefox 50 und Firefox ESR 45.5 bereit gestellt. Es beseitigt eine gravierende Sicherheitslücke, die bereits aktiv ausgenutzt wird. Neu sind die Versionen Firefox 50.0.2 sowie Firefox ESR 45.5.1. Auch für den auf Firefox ESR basierenden Tor Browser gibt es ein entsprechendes Update , die neue Versionsnummer lautet nunmehr 6.0.7. Ebenfalls betroffen ist das Mail-Programm Thunderbird , das Firefox-Code enthält. Thunderbird ist in der neuen Version 45.5.1 erhältlich. Alle Benutzer dieser Programme sollten das jeweilige Update umgehend installieren. In Firefox ist es über die integrierte Update-Funktion erhältlich.

Bereits am Dienstag, 29.11., gab es die ersten Berichte über Angriffe auf Nutzer des Tor Browsers, durch die die Anonymität von Tor-Nutzern gefährdet beziehungsweise deren Identität enthüllt wird. Dabei wird eine bis dahin nicht bekannte Use-after-free-Lücke in Firefox ab Version 41 ausgenutzt. Betroffen sind derzeit nur Windows-Nutzer, auch wenn die Mac- und Linux-Versionen von Firefox und Tor Browser ebenfalls anfällig sind. Die Angriffe mit einem inzwischen öffentlich verfügbaren Exploit dringen im Erfolgsfall bis zur Windows-Systembibliothek kernel32.dll durch. Somit könnte ein Angreifer eingeschleusten Code womöglich mit Systemrechten ausführen.

Der Exploit-Code soll bereits am Montag auf der Website Pastebin aufgetaucht sein. Er zielt offenbar auf eine Firefox-Schwachstelle bei SVG-Animationen (Scalable Vector Graphics). Damit der Exploit funktioniert, muss Javascript aktiviert sein. Wer das Firefox Add-on Noscript nutzt und es restriktiv handhabt, ist vergleichsweise sicher. Im Tor Browser ist Noscript enthalten. Wer im Tor Browser bei den Sicherheitseinstellungen den Schieberegler auf hohe Sicherheit einstellt, ist vor dem Angriff geschützt, da hierdurch sowohl Javascript als SVG deaktiviert werden.


Der Exploit-Code soll in großen Teilen identisch mit dem Code sein, den das FBI 2013 benutzt hat, um Tor-Nutzer zu identifizieren, die eine im Tor-Netzwerk verborgene Website mit kinderpornografischen Inhalten besuchten. Eine Verbindung zwischen dem FBI und den jetzigen Angriffen auf Tor-Nutzer gilt jedoch als unwahrscheinlich. Die mit dem Exploit eingeschleuste Malware versucht sich mit einem Server in Frankreich zu verbinden. Anders als 2013 hätte dies wohl kein US-Bundesrichter so genehmigt, meint ein Sprecher der Bürgerrechtsorganisation ACLU.

Erst Anfang dieser Woche hatte Mozilla die Firefox-Version 50.0.1 ausgeliefert, um eine als kritisch eingestufte Sicherheitslücke zu schließen.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2237960