Da die Webbrowser Firefox, Firefox ESR und der anonymisierende Tor Browser verwundbar sind, sollten Nutzer die abgesicherten Ausgaben installieren. In einer Sicherheitswarnung stuft Mozilla das Risiko insgesamt als "kritisch" ein.

Falls Angreifer die Lücken ausnutzen, sollen sie in vielen Fällen Speicherfehler auslösen können. Gelingt dieses, stürzen Anwendungen in der Regel ab (DoS-Attacke). Auf diesem Weg ist es aber oft auch möglich, Schadcode auszuführen. Mozilla zufolge reicht es in einem Fall (CVE-2018-18500) aus, wenn Firefox bestimmte HTML5-Streams verarbeitet, um einen Angriff einzuleiten.

Die abgesicherten Versionen Firfox 65, Firefox ESR 60.5 und Tor Browser 8.0.5 stehen zum Download bereit. Weil der Tor Browser auf Firefox ESR aufbaut, ist er von den Lücken betroffen. Aus einem Blog-Eintrag der Tor-Entwickler geht hervor, dass sie noch weitere Bugs gefixt und aktuelle Versionen von HTTPS Everywhere und NoScript implementiert haben.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE