/Sicherheitsupdates: Angreifer könnten Firefox und Tor Browser Schadcode unterjubeln

Sicherheitsupdates: Angreifer könnten Firefox und Tor Browser Schadcode unterjubeln

Alert!

Sicherheitsupdates: Angreifer könnten Firefox und Tor Browser Schadcode unterjubeln


Dennis Schirrmacher

In Firefox, inklusive der ESR-Ausgabe, und dem Tor Browser klaffen kritische Schwachstellen. Nutzer sollten zügig die abgesicherten Versionen installieren.

Der alleinige Besuch einer Webseite mit Firefox und Firefox ESR in Kombination mit dem Style Editor Tool soll Angreifern Tür und Tor für Schadcode öffnen, warnen die Entwickler. Da der anonymisierende Tor Browser auf Firefox ESR aufbaut, ist auch dieser Browser gefährdet.

Die Entwickler haben insgesamt 29 Angriffspunkte geschlossen. Davon gelten fünf Lücken als kritisch. Den Bedrohungsgrad von elf Schwachstellen stufen die Entwickler als hoch ein. Nutzen Angreifer die Lücken aus, können sie größtenteils Speicherfehler auslösen, um anschließend eigene Befehle auf betroffenen Systemen auszuführen. Auch DoS-Attacken sind vorstellbar.

Die abgesicherten Versionen Firefox 55 und Firefox ESR 52.3 stehen zum Download bereit. Nutzer sollten diese rasch installieren: Das Notfallteam des BSI CERT Bund sieht das Angriffsrisiko als “sehr hoch” an. Firefox 55 bietet nun auch Unterstützung für die WebVR-Schnittstelle und unter anderem eine schnellere Wiederherstellung besonders bei vielen geöffneten Tabs

Tor Browser abgesichert

Auch der Tor Browser ist über diese Lücken nicht mehr attackierbar: Die aktuelle Version 7.0.4 setzt auf Firefox ESR 52.3. In der fehlerbereinigten Ausgabe des Tor Browsers haben die Entwickler zusätzlich noch die Komponenten HTTPS-Everywhere (5.2.21) und NoScript (5.0.8.1) aktualisiert. Das alles und noch weitere Aktualisierungen finden sich auch in der Alpha Version 7.5a4 des Tor Browsers.

Jüngst haben die Tor-Entwickler ein öffentliches Bug-Bounty-Programm gestartet.


(des)