Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Schlupflöcher für Angreifer in Firefox und Tor Browser gestopft

Die Entwickler haben zum Teil kritische Lücken in Firefox und Firefox ESR geschlossen. Davon profitiert auch der auf Anonymität getrimmte Tor Browser.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Schlupflöcher für Angreifer in Firefox und Tor Browser gestopft

(Bild: pixabay)

Lesezeit: 2 Min.
Security
Von

Angreifer könnten Nutzer von Firefox, Firefox ESR und Tor Browser mit vergleichsweise wenig Aufwand attackieren und im ungünstigsten Fall Schadcode ausführen. Firefox 58, Firefox ESR 52.6 und Tor Browser 7.5 sind dagegen abgesichert.

In Firefox 58 haben die Entwickler mehrere Lücken geschlossen, die insgesamt 32 CVE-Nummern zugeteilt sind. Davon sind drei als kritisch eingestuft. In Firefox ESR 52.6 tauchen elf CVE-Nummern auf. Der Tor Browser 7.5 ist ebenfalls abgesichert und hat die aktuelle Ausgabe von Firefox ESR als Unterbau.

Diverse Auswirkungen

Beim Großteil der Lücken handelt es sich um Speicherfehler (Use-after-free, Buffer overflow, Integer overflow). Um diese zu provozieren, soll in vielen Fällen der alleinige Besuch einer präparierten Webseite ausreichen. In dieser Position könnten Angreifer die Webbrowser abschießen oder sogar Schadcode ausführen.

Außerdem könnten Angreifer von Opfern unbemerkt Dateien auf anvisierten Computern ablegen und ausführen. Auch der Missbrauch der Druckerfunktion für den Zugriff auf lokale Dateien ist vorstellbar. Darüber hinaus ist über das Ausnutzen einer Schwachstelle URL-Spoofing möglich.

Sicherer und bequemer anonym Surfen

Neben der abgesicherten Version von Firefox ESR erhält der Tor Browser zudem aktuelle Ausgaben von HTTPS Everywhere (2018.1.11), NoScript (5.1.8.3) und OpenSSL (1.0.2n). Außerdem ist Tor 0.3.2.9 mit an Bord. Das ist die Basis für den Zugriff auf Hidden Services, die ausschließlich im Tor-Netz sichtbar sind.

Die aktualisierte Ausgabe unterstützt die sogenannte Next Generation of Onion Services. Dabei haben die Entwickler beispielsweise diverse Protokolle verbessert, um die Wahrung der Anonymität von Nutzern zu verbessern. Außerdem kommen bessere Krypto-Funktionen zum Einsatz. Auch unter Windows läuft der Browser nun abgeschottet in einer Sandbox. Zusätzlich haben die Entwickler am User Interface des Browsers gefeilt, um die Bedienung zu erleichtern.

tipps+tricks zum Thema:

(des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten