Sicherheitsupdates: Zero-Day-Lücke in Firefox und Tor-Browser geschlossen

Mozilla und das Tor-Projekt haben ihre Webbrowser abgesichert. Die Entwickler haben in den ab sofort verfügbaren Versionen Firefox 50.0.2, Firefox ESR 45.5.1 und Tor Browser 6.0.7 eine als kritisch eingestufte Schwachstelle geschlossen. Offensichtlich klafft diese auch in Mozillas Mail-Client Thunderbird – die Ausgabe 45.5.1 soll abgesichert sein.

Noch nicht alle Tor-Browser-Versionen abgesichert

Neben dem Schließen der Lücke haben die Entwickler des Tor Browsers auch die aktuelle Version von NoScript (2.9.5.2) integriert. Die Alpha- und speziell gehärteten Versionen des Webbrowsers für das Tor Netzwerk enthalten das Sicherheitsupdate zum jetzigen Zeitpunkt noch nicht.

Wer eine dieser Versionen einsetzt, kann sich dem Team zufolge über einen Workaround absichern: Nach einem Klick auf die grüne Zwiebel neben der Adressleiste öffnet man die Privatsphäre- und Sicherheits-Einstellungen und setzt dort den Slider auf hoch. Standardmäßig ist gering aktiviert.

Unbekannte Angreifer sollen die Lücke aktuell im Visier haben. Besucht ein potentielles Opfer eine mit JavaScript und SVG-Code präparierte Webseite, können die Angreifer Schadcode auf Windows-Systemen ausführen. Der Exploit kann aktuell ausschließlich Windows-Computer in Beschlag nehmen – die Lücke klafft aber auch in verschiedenen Webbrowser-Versionen für Linux und macOS.

Exploit vom FBI?

Mozilla zufolge gibt es derzeit keine Beweise, dass der aktuelle Exploit vom FBI stammt. Diese Vermutung liegt nahe, schließlich funktioniert der Code sehr ähnlich wie der JavaScript-Exploit Magento aus dem Jahr 2013. Diesen hat das FBI genutzt, um Besucher des anonymisierenden Tor-Netzwerkes zu identifizieren.

[UPDATE, 01.12.2016 16:40 Uhr]

Das Anonymisierungs-OS Tails ist in der Version 2.7.1 mit dem abgesicherten Tor Browser 6.0.7 erschienen. (des)