Mozilla hat seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Es ist bereits das zweite außerplanmäßige Update für Firefox innerhalb einer Woche. Die Entwickler schließen damit eine am Dienstag bekannt gewordene kritische Zero-Day-Lücke, die vor allem Nutzer des Anonymisierungsnetzwerks The Onion Router (Tor) bedroht.
„Dienstag früh wurde Mozilla der Code für einen Exploit zur Verfügung gestellt, der eine zuvor unbekannte Schwachstelle in Firefox ausnutzt“, schreibt Daniel Veditz, Security Lead bei Mozilla, in einem Blogeintrag. „Der Exploit wurde später von einer anderen Person auf einer öffentlichen Mailing-Liste des Tor-Projekts veröffentlicht.“
Ein Angreifer muss demnach ein Opfer dazu verleiten, eine speziell gestaltete Website zu besuchen, die gefährlichen JavaScript- und SVG-Code enthält. Der Exploit wiederum funktioniert derzeit nur unter Windows. Die Anfälligkeit selbst stecke aber auch in Firefox für Mac OS X und Linux, so Veditz weiter.
Da der Exploit in der Lage ist, die IP- und Mac-Adresse eines Systems auszuspähen und an einen Server im Internet zu übertragen, können die Angreifer unter Umständen Nutzer des Anonymisierungsnetzwerks identifizieren. Veditz vergleicht die Sicherheitslücke deswegen auch mit einem früheren Bug, den das FBI benutzt haben soll, um gegen Tor-Nutzer zu ermitteln.
„Die Ähnlichkeit hat zu Spekulationen geführt, dass dieser Exploit vom FBI oder einer anderen Strafverfolgungsbehörde entwickelt wurde. Bisher wissen wir aber nicht, ob dem so ist. Sollte der Exploit aber tatsächlich von einer Regierung entwickelt und angewendet worden sein, ist die Tatsache, dass er veröffentlicht wurde und nun von jedem benutzt werden kann, um Firefox-Nutzer anzugreifen, ein klarer Beleg dafür, wie angeblich eingeschränktes staatliches Hacking zu einer Bedrohung für das Web werden kann“, ergänzte Veditz.
Das Update kann ab sofort manuell für Windows, Mac OS X und Linux von der Mozilla-Website geladen werden. Veditz zufolge sollten sich vorhandene Firefox-Installationen im Lauf der nächsten 24 Stunden automatisch aktualisieren.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…