Abo
  • Services:

0-Day: Tor und Firefox patchen ausgenutzten Javascript-Exploit

Tor und Mozilla haben schnell reagiert und veröffentlichen einen außerplanmäßigen Patch für eine kritische Sicherheitslücke. Der Fehler lag in einer Animationsfunktion für Vektorgrafiken.

Artikel veröffentlicht am ,
Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

Die Entwickler von Mozilla haben kurzfristig ein wichtiges Sicherheitsupdate herausgegeben, auch für den Torbrowser steht ein entsprechendes Update bereit. Die geschlossene Sicherheitslücke ermöglichte durch Ausnutzen einer Use-After-Free-Schwachstelle die Ausführung von Code auf dem Rechner der Nutzer. Außerdem wurde eine Unique-ID an den Server der Angreifer gesendet, die möglicherweise Rückschlüsse auf die Identität der Nutzer zulässt.

Stellenmarkt
  1. BWI GmbH, Nürnberg, Bonn, München
  2. BWI GmbH, Regen

Mozilla stuft das Update als "kritisch" ein, Nutzer sollten es dementsprechend so schnell wie möglich einspielen. Die Use-After-Free-Lücke mit der Bezeichnung CVE-2016-9079 findet sich in der Funktion SVG Animations, mit der Vektorgrafiken animiert werden können. Mozilla weist darauf hin, dass bereits ein funktionierender Exploit gegen Nutzer von Firefox und des Tor-Browser existiert.

Bereits am 28. November 2016 hatte Mozilla mit der Version 50.0.1 einen Fix für einen Fehler in der Same-Origin-Policy veröffentlicht.

Kritisches Update für Firefox, Tor-Browser und Thunderbird

Die aktualisierte Version des Tor-Browsers trägt die Nummer 6.0.7. und implementiert die von Mozilla vorgenommenen Änderungen mit der Firefox-Version 45.5.1esr. Außerdem wurde Noscript auf die Version 2.9.5.2 aktualisiert. Nach Angaben von Tor waren Nutzer, die den Schalter für die Sicherheitseinstellungen auf "hoch" gesetzt haben, nicht von den Problemen betroffen, weil Javascript in dieser Einstellung deaktiviert ist. Wer das Update noch nicht eingespielt hat, sollte nach dem Start des Browsers überprüfen, ob die entsprechende Einstellung gesetzt ist.

Der Fehler wird mit den Firefox-Versionen 50.0.2, Firefox ESR 45.5.1 sowie Thunderbird 45.5.1. behoben. Einen fast identischen Exploit gab es bereits im Jahr 2013.



Anzeige
Top-Angebote
  1. 16,99€ + 3,49€ Versand (Vergleichspreis ca. 30€)
  2. (u. a. NieR Automata für 20,99€ und Dead in Vinland für 12,49€)
  3. (u. a. Fallout 4 für 7,99€ und Battlefleet Gothic: Armada für 6,99€)
  4. 77€ (Vergleichspreis 97,83€)

ramboni 01. Dez 2016

Ich stimme zu. Aber: Mal über die gesamte Bandbreite der heutigen Technik gesehen ist es...


Folgen Sie uns
       


HP Elitebook 735 G5 - Test

Wir schauen uns das HP Elitebook 735 G5 an, eines der besten Business-Notebooks mit AMDs Ryzen Mobile.

HP Elitebook 735 G5 - Test Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ford will lieber langsam sein
  2. Navya Mainz testet autonomen Bus am Rheinufer
  3. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren

Disenchantment angeschaut: Fantasy-Kurzweil vom Simpsons-Schöpfer
Disenchantment angeschaut
Fantasy-Kurzweil vom Simpsons-Schöpfer

Mit den Simpsons ist er selbst Kult geworden, und Nachfolger Futurama hat nicht nur Sci-Fi-Nerds mit einem Auge für verschlüsselte Gags im Bildhintergrund begeistert. Bei Netflix folgt nun Matt Groenings Cartoonserie Disenchantment, die uns trotz liebenswerter Hauptfiguren in Märchenkulissen allerdings nicht ganz zu verzaubern weiß.
Eine Rezension von Daniel Pook

  1. Streaming Wachstum beim Pay-TV dank Netflix und Amazon
  2. Videostreaming Netflix soll am Fernseher übersichtlicher werden
  3. Quartalsbericht Netflix verfehlt eigene Prognosen um 1 Million Neukunden

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

    •  /