0-Day: Tor und Firefox patchen ausgenutzten Javascript-Exploit

Tor und Mozilla haben schnell reagiert und veröffentlichen einen außerplanmäßigen Patch für eine kritische Sicherheitslücke. Der Fehler lag in einer Animationsfunktion für Vektorgrafiken.

Artikel veröffentlicht am ,
Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

Die Entwickler von Mozilla haben kurzfristig ein wichtiges Sicherheitsupdate herausgegeben, auch für den Torbrowser steht ein entsprechendes Update bereit. Die geschlossene Sicherheitslücke ermöglichte durch Ausnutzen einer Use-After-Free-Schwachstelle die Ausführung von Code auf dem Rechner der Nutzer. Außerdem wurde eine Unique-ID an den Server der Angreifer gesendet, die möglicherweise Rückschlüsse auf die Identität der Nutzer zulässt.

Mozilla stuft das Update als "kritisch" ein, Nutzer sollten es dementsprechend so schnell wie möglich einspielen. Die Use-After-Free-Lücke mit der Bezeichnung CVE-2016-9079 findet sich in der Funktion SVG Animations, mit der Vektorgrafiken animiert werden können. Mozilla weist darauf hin, dass bereits ein funktionierender Exploit gegen Nutzer von Firefox und des Tor-Browser existiert.

Bereits am 28. November 2016 hatte Mozilla mit der Version 50.0.1 einen Fix für einen Fehler in der Same-Origin-Policy veröffentlicht.

Kritisches Update für Firefox, Tor-Browser und Thunderbird

Die aktualisierte Version des Tor-Browsers trägt die Nummer 6.0.7. und implementiert die von Mozilla vorgenommenen Änderungen mit der Firefox-Version 45.5.1esr. Außerdem wurde Noscript auf die Version 2.9.5.2 aktualisiert. Nach Angaben von Tor waren Nutzer, die den Schalter für die Sicherheitseinstellungen auf "hoch" gesetzt haben, nicht von den Problemen betroffen, weil Javascript in dieser Einstellung deaktiviert ist. Wer das Update noch nicht eingespielt hat, sollte nach dem Start des Browsers überprüfen, ob die entsprechende Einstellung gesetzt ist.

Der Fehler wird mit den Firefox-Versionen 50.0.2, Firefox ESR 45.5.1 sowie Thunderbird 45.5.1. behoben. Einen fast identischen Exploit gab es bereits im Jahr 2013.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /