Sicherheitsupdates: Angreifer könnten Firefox und Tor Browser Schadcode unterjubeln

In Firefox, inklusive der ESR-Ausgabe, und dem Tor Browser klaffen kritische Schwachstellen. Nutzer sollten zügig die abgesicherten Versionen installieren.

In Pocket speichern vorlesen Druckansicht 43 Kommentare lesen
Sicherheitsupdate: Angreifer könnten Firefox und Tor Browser Schadcode unterjubeln
Lesezeit: 2 Min.

Der alleinige Besuch einer Webseite mit Firefox und Firefox ESR in Kombination mit dem Style Editor Tool soll Angreifern Tür und Tor für Schadcode öffnen, warnen die Entwickler. Da der anonymisierende Tor Browser auf Firefox ESR aufbaut, ist auch dieser Browser gefährdet.

Die Entwickler haben insgesamt 29 Angriffspunkte geschlossen. Davon gelten fünf Lücken als kritisch. Den Bedrohungsgrad von elf Schwachstellen stufen die Entwickler als hoch ein. Nutzen Angreifer die Lücken aus, können sie größtenteils Speicherfehler auslösen, um anschließend eigene Befehle auf betroffenen Systemen auszuführen. Auch DoS-Attacken sind vorstellbar.

Die abgesicherten Versionen Firefox 55 und Firefox ESR 52.3 stehen zum Download bereit. Nutzer sollten diese rasch installieren: Das Notfallteam des BSI CERT Bund sieht das Angriffsrisiko als "sehr hoch" an. Firefox 55 bietet nun auch Unterstützung für die WebVR-Schnittstelle und unter anderem eine schnellere Wiederherstellung besonders bei vielen geöffneten Tabs

Auch der Tor Browser ist über diese Lücken nicht mehr attackierbar: Die aktuelle Version 7.0.4 setzt auf Firefox ESR 52.3. In der fehlerbereinigten Ausgabe des Tor Browsers haben die Entwickler zusätzlich noch die Komponenten HTTPS-Everywhere (5.2.21) und NoScript (5.0.8.1) aktualisiert. Das alles und noch weitere Aktualisierungen finden sich auch in der Alpha Version 7.5a4 des Tor Browsers.

Jüngst haben die Tor-Entwickler ein öffentliches Bug-Bounty-Programm gestartet.

[UPDATE 11.08.2017 09:00 Uhr]

In Firefox 55 hatte sich ein Bug eingeschlichen und die Verteilung wurde zwischenzeitlich eingestellt. Mittlerweile steht die Version 55.0.1 zur Verfügung. Diese steht aber derzeit offenbar noch nicht via Update einer älteren Ausgabe bereit. (des)