Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

0-Day: Tor und Firefox patchen ausgenutzten Javascript-Exploit

Tor und Mozilla haben schnell reagiert und veröffentlichen einen außerplanmäßigen Patch für eine kritische Sicherheitslücke. Der Fehler lag in einer Animationsfunktion für Vektorgrafiken.
/ Hauke Gierow
2 Kommentare News folgen (öffnet im neuen Fenster)
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla)
Mozilla hat fleißig Patches verteilt. Bild: Mozilla / CC-BY-SA 3.0

Die Entwickler von Mozilla haben kurzfristig ein wichtiges Sicherheitsupdate(öffnet im neuen Fenster) herausgegeben, auch für den Torbrowser steht ein entsprechendes Update bereit. Die geschlossene Sicherheitslücke ermöglichte durch Ausnutzen einer Use-After-Free-Schwachstelle die Ausführung von Code auf dem Rechner der Nutzer. Außerdem wurde eine Unique-ID an den Server der Angreifer gesendet, die möglicherweise Rückschlüsse auf die Identität der Nutzer zulässt.

Mozilla stuft das Update als "kritisch" ein, Nutzer sollten es dementsprechend so schnell wie möglich einspielen. Die Use-After-Free-Lücke mit der Bezeichnung CVE-2016-9079 findet sich in der Funktion SVG Animations, mit der Vektorgrafiken animiert werden können. Mozilla weist darauf hin, dass bereits ein funktionierender Exploit gegen Nutzer von Firefox und des Tor-Browser existiert.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Bereits am 28. November 2016 hatte Mozilla mit der Version 50.0.1 einen Fix für einen Fehler in der Same-Origin-Policy veröffentlicht(öffnet im neuen Fenster).

Kritisches Update für Firefox, Tor-Browser und Thunderbird

Die aktualisierte Version des Tor-Browsers(öffnet im neuen Fenster) trägt die Nummer 6.0.7. und implementiert die von Mozilla vorgenommenen Änderungen mit der Firefox-Version 45.5.1esr. Außerdem wurde Noscript auf die Version 2.9.5.2 aktualisiert. Nach Angaben von Tor waren Nutzer, die den Schalter für die Sicherheitseinstellungen auf "hoch" gesetzt haben, nicht von den Problemen betroffen, weil Javascript in dieser Einstellung deaktiviert ist. Wer das Update noch nicht eingespielt hat, sollte nach dem Start des Browsers überprüfen, ob die entsprechende Einstellung gesetzt ist.

Der Fehler wird mit den Firefox-Versionen 50.0.2, Firefox ESR 45.5.1 sowie Thunderbird 45.5.1. behoben. Einen fast identischen Exploit gab es bereits im Jahr 2013.

Zur Startseite 2 Kommentare

Relevante Themen

VerschlüsselungOpen SourceSoftwareProgrammiersprachenPolitikSecuritySicherheitslückeWissen