Die Browser Firefox, Firefox ESR sowie der anonymisierende Tor
Browser sind unter bestimmten Voraussetzungen angreifbar - unter
anderem ist dabei die Ausführung von Schadcode auf Computern
möglich. Der Bedrohungsgrad wurde mit "hoch" eingestuft.
Mozilla hat in Firefox 80 insgesamt zehn Sicherheitslücken
geschlossen, wobei die am gefährlichsten geltende Sicherheitslücke
(CVE-2020-15663) laut
den Entwicklern ausschließlich Windows Systeme bedroht.
Wurde der Browser in einem von Nutzern beschreibbaren Ordner installiert,
haben Angreifer die Möglichkeit, dem update.exe-Prozess eine
präparierte Datei unterzuschieben, welche dann von dem Prozess
mit Admin-Rechten ausgeführt wird. Mithilfe einer Downgrade-Attacke
muss dabei ein Schutzmechanismus umgangen werden, welcher lediglich
von Mozilla signierte Dateien akzeptiert.
Weiterhin können Angreifer durch Ausnutzung einer anderen
Schwachstelle (CVE-2020-15664) über manipulierte Websites ein
mit Schadcode versehenes Add-On einschleusen. Auch verschiedene
Timing-
und XSS-Attacken sind möglich.
Laut eines Beitrags
auf mozilla.org wurden die Sicherheitslücken von den Entwicklern
in Firefox ESR 68.12 und 78.2 geschlossen. Der Tor Browser basiert
auf Firefox ESR und ist somit ebenfalls betroffen - die abgesicherte
Version 9.5.4 schließt die Lücken.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|