Abo
  • Services:
Anzeige
Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

0-Day: Tor und Firefox patchen ausgenutzten Javascript-Exploit

Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

Tor und Mozilla haben schnell reagiert und veröffentlichen einen außerplanmäßigen Patch für eine kritische Sicherheitslücke. Der Fehler lag in einer Animationsfunktion für Vektorgrafiken.

Die Entwickler von Mozilla haben kurzfristig ein wichtiges Sicherheitsupdate herausgegeben, auch für den Torbrowser steht ein entsprechendes Update bereit. Die geschlossene Sicherheitslücke ermöglichte durch Ausnutzen einer Use-After-Free-Schwachstelle die Ausführung von Code auf dem Rechner der Nutzer. Außerdem wurde eine Unique-ID an den Server der Angreifer gesendet, die möglicherweise Rückschlüsse auf die Identität der Nutzer zulässt.

Anzeige

Mozilla stuft das Update als "kritisch" ein, Nutzer sollten es dementsprechend so schnell wie möglich einspielen. Die Use-After-Free-Lücke mit der Bezeichnung CVE-2016-9079 findet sich in der Funktion SVG Animations, mit der Vektorgrafiken animiert werden können. Mozilla weist darauf hin, dass bereits ein funktionierender Exploit gegen Nutzer von Firefox und des Tor-Browser existiert.

Bereits am 28. November 2016 hatte Mozilla mit der Version 50.0.1 einen Fix für einen Fehler in der Same-Origin-Policy veröffentlicht.

Kritisches Update für Firefox, Tor-Browser und Thunderbird

Die aktualisierte Version des Tor-Browsers trägt die Nummer 6.0.7. und implementiert die von Mozilla vorgenommenen Änderungen mit der Firefox-Version 45.5.1esr. Außerdem wurde Noscript auf die Version 2.9.5.2 aktualisiert. Nach Angaben von Tor waren Nutzer, die den Schalter für die Sicherheitseinstellungen auf "hoch" gesetzt haben, nicht von den Problemen betroffen, weil Javascript in dieser Einstellung deaktiviert ist. Wer das Update noch nicht eingespielt hat, sollte nach dem Start des Browsers überprüfen, ob die entsprechende Einstellung gesetzt ist.

Der Fehler wird mit den Firefox-Versionen 50.0.2, Firefox ESR 45.5.1 sowie Thunderbird 45.5.1. behoben. Einen fast identischen Exploit gab es bereits im Jahr 2013.


eye home zur Startseite
ramboni 01. Dez 2016

Ich stimme zu. Aber: Mal über die gesamte Bandbreite der heutigen Technik gesehen ist es...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Wilhelm Bahmüller Maschinenbau Präzisionswerkzeuge GmbH, Plüderhausen bei Schrondorf
  3. Zweckverband Kommunale Datenverarbeitung Region Stuttgart, Stuttgart
  4. vwd Vereinigte Wirtschaftsdienste GmbH, Frankfurt


Anzeige
Top-Angebote
  1. (-58%) 24,99€
  2. (-26%) 12,99€
  3. (-78%) 8,99€

Folgen Sie uns
       


  1. Cobot

    Nicht so grob, Kollege Roboter!

  2. Mimimi

    Entwicklerverband kritisiert Deutschen Computerspielpreis

  3. Sprachassistent

    Google stellt SDK für Assistant vor

  4. Anker Powercore+ 26800 PD

    Akkupack liefert Strom per Power Delivery über USB Typ C

  5. Electronic Arts

    "Alle unsere Studios haben VR-Programmiermöglichkeiten"

  6. Bluetooth-Kopfhörer

    Bose will Opt-out aus Datenspeicherung anbieten

  7. Handheld

    New Nintendo 2DS XL vorgestellt

  8. Apple

    Preiserhöhung für europäischen App Store verordnet

  9. Airbus A350-1000XWB

    Ein Blick ins Innere eines Testflugzeugs

  10. Amazon

    Echo-Lautsprecher mit Bildschirm soll im Mai kommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sonos Playbase vs. Raumfeld Sounddeck: Wuchtiger Wumms im Wohnzimmer
Sonos Playbase vs. Raumfeld Sounddeck
Wuchtiger Wumms im Wohnzimmer
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. e.GO Life Elektroauto aus Deutschland für 15.900 Euro
  2. Elektroauto VW testet E-Trucks
  3. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

  1. Re: Schon lustig

    hum4n0id3 | 12:13

  2. Du meinst Akku-Auto...

    Berner Rösti | 12:12

  3. Ein Roboter ist eine Maschine und damit kein Kollege

    Netzweltler | 12:09

  4. Re: Kann ich noch Dinge kaufen die mich nicht...

    neocron | 12:09

  5. Ne Menge Mimimi!

    Rufus20 | 12:08


  1. 12:01

  2. 11:53

  3. 11:42

  4. 11:32

  5. 11:21

  6. 11:04

  7. 10:27

  8. 10:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel