Firefox und Tor Browser: Kritische Lücken aus Hacker-Wettbewerb geschlossen
Mozilla und die Entwickler des Tor Browser haben abgesicherte Versionen ihrer Webbrowser veröffentlicht. Thunderbird wurde auch repariert.
Angreifer könnten Firefox, Firefox ESR und den Tor Browser attackieren und Schadcode ausführen. Nun haben die Entwickler reparierte Versionen veröffentlicht. Die Sicherheitslücken (CVE-2019-9810, CVE-2019-9813) gelten als kritisch. Die Schwachstellen haben Teilnehmer des Hacker-Wettbewerbs Pwn2Own aufgedeckt.
Abgesichert sind die Ausgaben Firefox 66.0.1, Firefox ESR 60.6.1 und Tor Browser 8.0.8 für alle Systeme. Alle vorigen Versionen sollen verwundbar sein. Die Schwachstellen finden sich im JavaScript JIT Compiler IonMonkey. Aufgrund von mangelnden Prüfungen könnten Angreifer Speicherfehler provozieren und so eigenen Code in den Speicher schieben und ausführen. Aus Sicherheitsgründen verrät Mozilla in einer Warnmeldung keine weiteren Details.
Der Tor Browser ist betroffen, da er als Basis auf Firefox ESR setzt. Außerdem nennen die Entwickler in einem Blog-Beitrag noch die Implementierung von NoScript 10.2.4. Über den Tor Browser kann man anonym surfen und auf Dienste im Tor-Netzwerk zugreifen.
[UPDATE, 26.03.2019 09:45]
Mittlerweile hat Mozilla die Sicherheitslücken auch in Thunderbird 60.6.1 geschlossen. Anrisstext angepasst. (des)
