Mozilla hat seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Es ist bereits das zweite außerplanmäßige Update für Firefox innerhalb einer Woche. Die Entwickler schließen damit eine am Dienstag bekannt gewordene kritische Zero-Day-Lücke, die vor allem Nutzer des Anonymisierungsnetzwerks The Onion Router (Tor) bedroht.
„Dienstag früh wurde Mozilla der Code für einen Exploit zur Verfügung gestellt, der eine zuvor unbekannte Schwachstelle in Firefox ausnutzt“, schreibt Daniel Veditz, Security Lead bei Mozilla, in einem Blogeintrag. „Der Exploit wurde später von einer anderen Person auf einer öffentlichen Mailing-Liste des Tor-Projekts veröffentlicht.“
Ein Angreifer muss demnach ein Opfer dazu verleiten, eine speziell gestaltete Website zu besuchen, die gefährlichen JavaScript- und SVG-Code enthält. Der Exploit wiederum funktioniert derzeit nur unter Windows. Die Anfälligkeit selbst stecke aber auch in Firefox für Mac OS X und Linux, so Veditz weiter.
Da der Exploit in der Lage ist, die IP- und Mac-Adresse eines Systems auszuspähen und an einen Server im Internet zu übertragen, können die Angreifer unter Umständen Nutzer des Anonymisierungsnetzwerks identifizieren. Veditz vergleicht die Sicherheitslücke deswegen auch mit einem früheren Bug, den das FBI benutzt haben soll, um gegen Tor-Nutzer zu ermitteln.
„Die Ähnlichkeit hat zu Spekulationen geführt, dass dieser Exploit vom FBI oder einer anderen Strafverfolgungsbehörde entwickelt wurde. Bisher wissen wir aber nicht, ob dem so ist. Sollte der Exploit aber tatsächlich von einer Regierung entwickelt und angewendet worden sein, ist die Tatsache, dass er veröffentlicht wurde und nun von jedem benutzt werden kann, um Firefox-Nutzer anzugreifen, ein klarer Beleg dafür, wie angeblich eingeschränktes staatliches Hacking zu einer Bedrohung für das Web werden kann“, ergänzte Veditz.
Das Update kann ab sofort manuell für Windows, Mac OS X und Linux von der Mozilla-Website geladen werden. Veditz zufolge sollten sich vorhandene Firefox-Installationen im Lauf der nächsten 24 Stunden automatisch aktualisieren.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…