Abo
  • Services:
Anzeige
Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

0-Day: Tor und Firefox patchen ausgenutzten Javascript-Exploit

Mozilla hat fleißig Patches verteilt.
Mozilla hat fleißig Patches verteilt. (Bild: Mozilla/CC-BY-SA 3.0)

Tor und Mozilla haben schnell reagiert und veröffentlichen einen außerplanmäßigen Patch für eine kritische Sicherheitslücke. Der Fehler lag in einer Animationsfunktion für Vektorgrafiken.

Die Entwickler von Mozilla haben kurzfristig ein wichtiges Sicherheitsupdate herausgegeben, auch für den Torbrowser steht ein entsprechendes Update bereit. Die geschlossene Sicherheitslücke ermöglichte durch Ausnutzen einer Use-After-Free-Schwachstelle die Ausführung von Code auf dem Rechner der Nutzer. Außerdem wurde eine Unique-ID an den Server der Angreifer gesendet, die möglicherweise Rückschlüsse auf die Identität der Nutzer zulässt.

Anzeige

Mozilla stuft das Update als "kritisch" ein, Nutzer sollten es dementsprechend so schnell wie möglich einspielen. Die Use-After-Free-Lücke mit der Bezeichnung CVE-2016-9079 findet sich in der Funktion SVG Animations, mit der Vektorgrafiken animiert werden können. Mozilla weist darauf hin, dass bereits ein funktionierender Exploit gegen Nutzer von Firefox und des Tor-Browser existiert.

Bereits am 28. November 2016 hatte Mozilla mit der Version 50.0.1 einen Fix für einen Fehler in der Same-Origin-Policy veröffentlicht.

Kritisches Update für Firefox, Tor-Browser und Thunderbird

Die aktualisierte Version des Tor-Browsers trägt die Nummer 6.0.7. und implementiert die von Mozilla vorgenommenen Änderungen mit der Firefox-Version 45.5.1esr. Außerdem wurde Noscript auf die Version 2.9.5.2 aktualisiert. Nach Angaben von Tor waren Nutzer, die den Schalter für die Sicherheitseinstellungen auf "hoch" gesetzt haben, nicht von den Problemen betroffen, weil Javascript in dieser Einstellung deaktiviert ist. Wer das Update noch nicht eingespielt hat, sollte nach dem Start des Browsers überprüfen, ob die entsprechende Einstellung gesetzt ist.

Der Fehler wird mit den Firefox-Versionen 50.0.2, Firefox ESR 45.5.1 sowie Thunderbird 45.5.1. behoben. Einen fast identischen Exploit gab es bereits im Jahr 2013.


eye home zur Startseite
ramboni 01. Dez 2016

Ich stimme zu. Aber: Mal über die gesamte Bandbreite der heutigen Technik gesehen ist es...



Anzeige

Stellenmarkt
  1. Der Präsident des Kammergerichts, Berlin
  2. ERWIN HYMER GROUP AG & Co. KG, Bad Waldsee
  3. endica GmbH, Karlsruhe
  4. Vodafone Kabel Deutschland GmbH, Düsseldorf


Anzeige
Spiele-Angebote
  1. 29,99€
  2. 27,99€
  3. 1,49€

Folgen Sie uns
       


  1. Gaming-Bildschirme

    Freesync-Displays von Iiyama und Viewsonic

  2. Umfrage

    Frauen in Startups werden häufig sexuell belästigt

  3. Mobile-Games-Auslese

    Ninjas, Pyramiden und epische kleine Kämpfe

  4. APS-C

    Tamron stellt 18-400-mm-Objektiv vor

  5. Dateien

    iOS-Dateimanager erhält Zugriff auf weitere Clouddienste

  6. Lucidcam

    3D-Kamera mit 180-Grad-Sicht kommt in den Handel

  7. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  8. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  9. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  10. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Stehpult ausprobiert: Aufstehen gegen Rückenschmerzen
Stehpult ausprobiert
Aufstehen gegen Rückenschmerzen
  1. Stellenmarkt Softwareentwickler haben nicht die bestbezahlten IT-Jobs
  2. Looksee Wellington Neuseeland zieht mehr IT-Experten an
  3. Jobs Deutschland kann seinen IT-Fachkräftemangel selbst lösen

Assassin's Creed Origins angespielt: Ubisoft verschafft den Auftragskillern Ruhepausen
Assassin's Creed Origins angespielt
Ubisoft verschafft den Auftragskillern Ruhepausen
  1. Xbox One X Probefahrt mit der X-Klasse
  2. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  3. Xbox One Supersampling im Zeichen des X

Github: Wer Entwickler hat, braucht keine PR
Github
Wer Entwickler hat, braucht keine PR
  1. Entwicklerplattform Github bekommt Marktplatz für Werkzeuge
  2. Entwicklungswerkzeuge Gnome erwägt Umzug auf Gitlab
  3. Windows 7 und 8 Github-Nutzer schafft Freischaltung von neuen CPUs

  1. Laut der Umfrage des Instituts Innofact im...

    kalcifer | 10:44

  2. Re: In Essen haben wir noch 2 MBit/s

    Dwalinn | 10:44

  3. Re: Industrie dort ansiedeln, wo die Ressourcen sind

    chewbacca0815 | 10:42

  4. 22-facher Zoomfaktor

    graviton | 10:42

  5. Re: Endlich brauchen

    Arestris | 10:41


  1. 10:50

  2. 10:31

  3. 09:00

  4. 07:38

  5. 07:25

  6. 07:16

  7. 14:37

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel