Firefox: Mozilla schließt Zero-Day-Lücke

Mozilla hat seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Es ist bereits das zweite außerplanmäßige Update für Firefox innerhalb einer Woche. Die Entwickler schließen damit eine am Dienstag bekannt gewordene kritische Zero-Day-Lücke, die vor allem Nutzer des Anonymisierungsnetzwerks The Onion Router (Tor) bedroht.

Einem Security Advisory zufolge steckt in der Komponente SVG Animation ein Use-after-free-Bug. Er erlaubt es, Schadcode einzuschleusen und auszuführen. Betroffen sind Firefox 50.0.1 und früher, das Extended Support Release 45.5.0 und auch der E-Mail-Client Thunderbird in der Version 45.5.0 und früher.

„Dienstag früh wurde Mozilla der Code für einen Exploit zur Verfügung gestellt, der eine zuvor unbekannte Schwachstelle in Firefox ausnutzt“, schreibt Daniel Veditz, Security Lead bei Mozilla, in einem Blogeintrag. „Der Exploit wurde später von einer anderen Person auf einer öffentlichen Mailing-Liste des Tor-Projekts veröffentlicht.“

Ein Angreifer muss demnach ein Opfer dazu verleiten, eine speziell gestaltete Website zu besuchen, die gefährlichen JavaScript- und SVG-Code enthält. Der Exploit wiederum funktioniert derzeit nur unter Windows. Die Anfälligkeit selbst stecke aber auch in Firefox für Mac OS X und Linux, so Veditz weiter.

Da der Exploit in der Lage ist, die IP- und Mac-Adresse eines Systems auszuspähen und an einen Server im Internet zu übertragen, können die Angreifer unter Umständen Nutzer des Anonymisierungsnetzwerks identifizieren. Veditz vergleicht die Sicherheitslücke deswegen auch mit einem früheren Bug, den das FBI benutzt haben soll, um gegen Tor-Nutzer zu ermitteln.

„Die Ähnlichkeit hat zu Spekulationen geführt, dass dieser Exploit vom FBI oder einer anderen Strafverfolgungsbehörde entwickelt wurde. Bisher wissen wir aber nicht, ob dem so ist. Sollte der Exploit aber tatsächlich von einer Regierung entwickelt und angewendet worden sein, ist die Tatsache, dass er veröffentlicht wurde und nun von jedem benutzt werden kann, um Firefox-Nutzer anzugreifen, ein klarer Beleg dafür, wie angeblich eingeschränktes staatliches Hacking zu einer Bedrohung für das Web werden kann“, ergänzte Veditz.

Das Update kann ab sofort manuell für Windows, Mac OS X und Linux von der Mozilla-Website geladen werden. Veditz zufolge sollten sich vorhandene Firefox-Installationen im Lauf der nächsten 24 Stunden automatisch aktualisieren.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

12 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago