Kritisches Sicherheits-Update: Firefox 50.0.2 und 45.5.1 ESR

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36255
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Kritisches Sicherheits-Update: Firefox 50.0.2 und 45.5.1 ESR

Beitrag von doelf »

Ein neuer Tag, ein neuer Patch: Mozilla hat mit der Version 50 des Firefox wenig Glück und musste ein zweites Mal nachbessern. Auch der Firefox 50.0.2 behebt eine kritische Sicherheitslücke, doch diesmal wird der Fehler bereits für Angriffe missbraucht. Alle Versionen und Betriebssysteme sind betroffen, auch der Tor-Browser und der Thunderbird. Ein unverzügliches Update ist somit notwendig!

Der Angriff erfolgt über SVG-Dateien, die Animationen enthalten. Diese Animationen werden über eingebettete Scripte realisiert, im konkreten Fall über SMIL (Synchronized Multimedia Integration Language), eine eher selten genutzte Sprache. Durch eine spezielle Befehlsabfolge kommt es zu einem ungültigen Zugriff in nsSMILTimeContainer::NotifyTimeChange(), da das anvisierte Feld nicht mehr existiert und der Zeiger unsicher ins Leere läuft. Ist der Angriff erfolgreich, werden die IP- und Mac-Adresse des Geräts, auf dem Firefox oder Tor laufen, ermittelt und über den Port 80 an eine feste IP-Adresse (5.39.27.226) geschickt. Die Verfolgung der IP-Adresse läuft derzeit ins Leere, deutet aber auf einen Ursprung in Frankreich hin.

Diese 0-Day-Lücke betrifft nicht nur den Firefox 50.0, sondern auch ältere Versionen. Der Code, in dem der Fehler steckt, wurde nach Angaben der Entwickler in den vergangenen fünf Jahren so gut wie nicht angerührt. Sicher sind ausschließlich der Firefox 50.0.2, der Firefox 45.5.1 ESR, der Firefox 51.0 Beta 5 und der Tor Browser 6.0.7. Das Problem betrifft auch den E-Mail-Client Thunderbird, der ebenfalls in der korrigierten Version 45.5.1 erhältlich ist. Obwohl die Sicherheitslücke auch unter Mac OS X und Linux existiert, wurden bisher - soweit bekannt - nur Windows-Rechner angegriffen.

Download:
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36255
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Kritisches Sicherheits-Update: Firefox 50.0.2 und 45.5.1 ESR

Beitrag von doelf »

Na sowas, wollte keiner mehr die präparierten PDF-Dokumente bei die fransösisch Geheimdienst 'erunterladen?
Oder sucht Europol nach willigen Hintertüren?
Zumindest müffelt es diesmal nicht nach NSA...
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .
Antworten