Neue Firefox Version 50.0.2 und Tor-Update 6.0.7

MozillaDie Mozilla-Entwickler haben ein Update des Firefox-Browsers vorgelegt, der diesen auf die Version 50.0.2 hebt. Gleichzeitig steht ein Update für die Anonymisierungslösung Tor zur Verfügung, die eine Sicherheitslücke behebt.


Anzeige

Ich hatte gestern im Blog-Beitrag Achtung: Firefox Zero-Day-Exploit enttarnt Tor-Nutzer über die Sicherheitslücke berichtet, die die Anonymität von Tor-Nutzern und auch Firefox-Nutzer unter Windows gefährdet. Bei aktiviertem JavaScript konnte eine Sicherheitslücke ausgenutzt werden – es gab dafür ein Zero-Day-Exploit “in the wild”, welches eingesetzt wurde. Die Mozilla-Entwickler haben binnen Stunden reagiert und am 30. November 2016 revidierte Version des Firefox-Browsers vorgelegt. Ein Kommentar von Peter hier im Blog weist auf diese Mozilla-Seite hin 

Mozilla Foundation Security Advisory 2016-92

Firefox SVG Animation Remote Code Execution

ANNOUNCED

November 30, 2016

PRODUCTS

Firefox, Firefox ESR, Thunderbird

FIXED IN

  • Firefox 50.0.2
  • Firefox ESR 45.5.1
  • Thunderbird 45.5.1

#CVE-2016-9079: Use-after-free in SVG Animation

Description

A use-after-free vulnerability in SVG Animation has been discovered. An exploit built on this vulnerability has been discovered in the wild targeting Firefox and Tor Browser users on Windows.

Es stehen also aktualisierte Versionen des Firefox-Browsers bereit. Für normale Nutzer ist dies der Firefox 50.0.2 – im Tor-Browser Firefox ESR 45.5.1.

Tor-Update bereits verfügbar

Ich habe es gerade mal im Tor unter Windows getestet. Klickt man in der Symbolleiste auf das Symbol der Tor-Zwiebel, lässt sich der Befehl Suche nach Tor-Browseraktualisierungen, erscheint das nachfolgend gezeigte Dialogfeld.

Tor-Update

Bei der Suche nach Updates wird eines gefunden. Klickt man auf Tor-Browser neu starten, beendet sich Tor und führt die Installation aus.

Tor

Im Anschluss wird mir die Tor Browser 6.0.7-Version mit Firefox 45.5.1esr sowie NoScript 2.9.5.2 gemeldet. Die Lücke ist also geschlossen.


Anzeige

Auch bei Firefox-Browser wurde mit bei der Update-Suche über die Firefox-Hilfe Über Firefox das Update auf die Version 50.0.2 angeboten.


Anzeige


Dieser Beitrag wurde unter Firefox, Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Neue Firefox Version 50.0.2 und Tor-Update 6.0.7


  1. Anzeige
  2. sandy sagt:

    Super! Danke für den Hinweis! :-)

  3. Holger K. sagt:

    Danke, das war das erste was ich heute morgen nach Hochfahren des Rechners gemacht habe, nämlich Firefox starten und schauen, ob ein neue Version verfügbar ist.

    Ich bin jetzt aber irritiert, weil das nicht die Sicherheitslücke ist, die eigentlich gestern bekannt wurde. Die Informationen von gestern besagten, dass es sich um eine Sicherheitslücke in Javascript handelt, die Informationen auf mozilla.org sprechen aber von SVG. Da werde ich einmal recherchieren.

  4. Anzeige

  5. Holger K. sagt:

    Ich habe mir nun mehrere Quellen durchgelesen, die die Angriffsmethode beschreiben, und was ich davon verstanden habe ist folgendes:

    Mittels mehrerer in einer HTML-Datei vorhandener Javascripts wird ein SVG-Objekt erzeugt und in dieses obfuscated Windows-Shell-Code eingebettet, der dann aufgrund einer in Firefox nicht vorhandenen Speicherverwürfelung an eine bestimmte Adresse innerhalb des Firefox-Heaps platziert wird und dann auch noch an die kernel32.dll geschickt wird. Die Methode, mit der das geschieht, wird als “use-after-free” bezeichnet. Dabei wird auf Speicher, der schon wieder freigegeben wurde zugegriffen, was hierbei wohl die eigentliche Sicherheitslücke darstellt.

    Der Shell-Code macht nun nichts anderes als die IP-Adresse des Benutzers und weitere identifizierende Informationen an einen in Frankreich stehenden, mittlerweile nicht mehr erreichbaren Server zu schicken.

    Man rät hierzu, der Mozilla-Foundation Geld zur Verfügung zu stellen, um eine Speicherverwürfelung, die Browser wie Chrome und Edge längst implementiert haben, nachzureichen.

  6. sandy sagt:

    Kann man den Firefox denn jetzt wieder bedenkenlos nutzen, oder sollte man es erstmal lieber noch bleiben lassen?

    • AlTa sagt:

      Also im privaten Bereich ist das doch wirklich schon fast egal.
      Ich meine jeden Tag kommt eine neue Meldung das Dies und Das eine Lücke hat.
      Was da an Zeit drauf geht, um seinen Kopf aus der vermeintlichen Schlinge zu ziehen.
      Mir ist das ehrlich gesagt alles Latte. Ich fange mit Sicherheit jetzt nicht an nen anderen Browser zu nutzen…
      Einfach Werbe und Scriptblocker nutzen, Virenscanner und Augen auf wo man hindrückt.
      Ich denke mit der Taktik fährt man sehr gut. ;-)
      Bei den Meldungen müsste man ansonsten sein Internet am Besten abmelden…

      Gruß

    • Holger K. sagt:

      Diese spezielle Sicherheitslücke ist geschlossen worden. Sobald man also auf Firefox 50.0.2 upgedatet hat, ist man auf der sicheren Seite und ist nicht mehr verwundbar gegen Angriffe dagegen, selbst wenn der Code modifiziert wurde, um einem anderen Zweck zu dienen (hier nämlich Tor-Nutzer zu identifizieren).

      Leider ist Open Source-Software Segen und Fluch zugleich. Jeder kann den Code einsehen und auf Schwachstellen abklopfen, sowohl, um diese auszunutzen, als auch um ein Ausnutzen zu verhindern. Ich kann jetzt nicht sagen, ob diese Schwachstelle in Firefox bis Version 50.0.1 über den Quellcode gefunden wurde oder durch andere Methoden. Fakt ist aber, dass die Mozilla-Foundation teilweise unterfinanziert ist, was Sicherheitsbelange in Firefox anbetrifft. Security Audits kosten viel Geld, da jedesmal, bevor eine finale Version veröffentlich wird, ein ganzes Team nur damit beschäftigt ist, tagelang den Code auf Schwachstellen zu untersuchen.
      Ich bezweifle aber ganz stark, dass andere Entwicklungsteams der Konkurrenz solche Anstrengungen unternehmen.

      In den letzten Jahren wurden Tools perfektioniert, die Software automatisiert auf Sicherheitslücken hin untersuchen. Eingesetzt wird solche Software sowohl von Geheimdiensten als auch von Firmen, die Exploits an andere verkaufen.

      Da Sicherheitslücken in regelmäßigen Abständen in ALLEN Browsern veröffentlicht und gefixt werden, ist man nirgendwo auf der absolut sicheren Seite. Jedoch bin ich der Meinung, dass Firefox noch am ehesten meiner Vorstellung eines sicheren Browsers entspricht, siehe privater Modus und das, was man alles in about:config einstellen kann.

  7. Andreas B. sagt:

    Neues UPDATE verfügbar:
    Firefox 52.0 kam bei mir gestern rein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.