Sicherheitsupdate: Tor Browser durch kritische Lücken in Firefox ESR gefährdet
Der alleinige Besuch einer präparierten Webseite soll ausreichen, dass Angreifer Schadcode auf Computern von Nutzern des Tor Browsers ausführen können.
![Tor](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/1/0/6/4/4/1/Tor-efc43aec71f01150.jpeg)
Im Unterbau des Tor Browsers zum anonymen Surfen Firefox ESR klaffen zwei als kritisch und sechs mit dem Bedrohungsgrad hoch eingestufte Sicherheitslücken. Das Tor-Team hat den Browser nun in der Version 6.0.8 veröffentlicht, die auf die fehlerbereinigte Firefox-ESR-Ausgabe 45.6 setzt.
Für einen Übergriff auf einen Computer soll unter anderem der Besuch einer mit speziellen Audio-Elementen und DOM Events präparierten Webseite ausreichen. So sollen Angreifer im schlimmsten Fall Schadcode ausführen können. Die Lücken sind auch mögliche Einfallstore für DoS- und XSS-Attacken. Angreifer sollen auf diesen Wegen auch Informationen abziehen können.
Neben der Aktualisierung von Firefox ESR hat das Team um den anonymisierenden Webbrowser auch die Tor-Version 0.2.8.11, Torbutton 1.9.5.13 zur Anpassung der Privatsphäre-Einstellungen von Firefox ESR und HTTPS-Everywhere in der Ausgabe 5.2.8 integriert. (des)