Abo
  • Services:
Anzeige
Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

0-Day: Tor und Firefox patchen ausgenutzten Javascript-Exploit

Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

Tor und Mozilla haben schnell reagiert und veröffentlichen einen außerplanmäßigen Patch für eine kritische Sicherheitslücke. Der Fehler lag in einer Animationsfunktion für Vektorgrafiken.

Die Entwickler von Mozilla haben kurzfristig ein wichtiges Sicherheitsupdate herausgegeben, auch für den Torbrowser steht ein entsprechendes Update bereit. Die geschlossene Sicherheitslücke ermöglichte durch Ausnutzen einer Use-After-Free-Schwachstelle die Ausführung von Code auf dem Rechner der Nutzer. Außerdem wurde eine Unique-ID an den Server der Angreifer gesendet, die möglicherweise Rückschlüsse auf die Identität der Nutzer zulässt.

Anzeige

Mozilla stuft das Update als "kritisch" ein, Nutzer sollten es dementsprechend so schnell wie möglich einspielen. Die Use-After-Free-Lücke mit der Bezeichnung CVE-2016-9079 findet sich in der Funktion SVG Animations, mit der Vektorgrafiken animiert werden können. Mozilla weist darauf hin, dass bereits ein funktionierender Exploit gegen Nutzer von Firefox und des Tor-Browser existiert.

Bereits am 28. November 2016 hatte Mozilla mit der Version 50.0.1 einen Fix für einen Fehler in der Same-Origin-Policy veröffentlicht.

Kritisches Update für Firefox, Tor-Browser und Thunderbird

Die aktualisierte Version des Tor-Browsers trägt die Nummer 6.0.7. und implementiert die von Mozilla vorgenommenen Änderungen mit der Firefox-Version 45.5.1esr. Außerdem wurde Noscript auf die Version 2.9.5.2 aktualisiert. Nach Angaben von Tor waren Nutzer, die den Schalter für die Sicherheitseinstellungen auf "hoch" gesetzt haben, nicht von den Problemen betroffen, weil Javascript in dieser Einstellung deaktiviert ist. Wer das Update noch nicht eingespielt hat, sollte nach dem Start des Browsers überprüfen, ob die entsprechende Einstellung gesetzt ist.

Der Fehler wird mit den Firefox-Versionen 50.0.2, Firefox ESR 45.5.1 sowie Thunderbird 45.5.1. behoben. Einen fast identischen Exploit gab es bereits im Jahr 2013.


eye home zur Startseite
ramboni 01. Dez 2016

Ich stimme zu. Aber: Mal über die gesamte Bandbreite der heutigen Technik gesehen ist es...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. BRUNATA Wärmemesser GmbH & Co. KG, München
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. Vodafone Kabel Deutschland GmbH, Unterföhring bei München
  4. GERMANIA Fluggesellschaft mbH, Berlin-Tegel


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Unfassbaren, Ghostbusters I & II, Jurassic World, Fast & Furious 7 Extended Version)
  2. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)
  3. (u. a. Django, Elysium, The Equalizer, White House Down, Ghostbusters 2)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Mozilla und das offene Web: Erstmal EME...

    Vollbluthonk | 20:10

  2. From hero to zero

    WoainiLustig | 20:09

  3. Re: Wie ist das bei AMD?

    tg-- | 20:08

  4. Re: Bitte nicht mit Sandy Bridge CPUs verwenden !!

    ms (Golem.de) | 20:06

  5. Re: "Sentence Commuted" IST NICHT GLEICH PARDON

    VI | 20:05


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel