Probleme mit HTML5 haben Mozilla jetzt veranlasst, Sicherheitsupdates herauszubringen: Die Browser Firefox, Firefox ESR und der anonymisierende Tor Browser, die Eintrittskarte für das Dark Net, sind durch HTML5 verwundbar.
Alle Benutzer sollten deshalb die von Hersteller Mozilla herausgegebenen, abgesicherten Ausgaben umgehend installieren. Mozilla stuft das Risiko in seiner Sicherheitswarnung dazu insgesamt als „kritisch“ ein.
Details zu den Sicherheitslücken
Wenn Angreifer die Lücken ausnutzen, sollen sie in vielen Fällen Speicherfehler auslösen können. Wenn das dann passiert ist, stürzen Programme in aller Regel ab (DoS-Attacke).
Auf diesem Weg aber ist es dann aber auch häufig möglich, Schadcode ausführen zu lassen. In einem Fall (CVE-2018-18500) reicht es nach Angaben von Mozilla schon aus, wenn Firefox bestimmte HTML5-Streams verarbeitet, um einen Angriff durchzuführen.
Mozilla hat abgesicherte Versionen von Firfox 65, Firefox ESR 60.5 und Tor Browser 8.0.5 zum Download bereitgestellt. Der Tor Browser die Sicherheitslücken deshalb auf, weil er auf dem Firefox ESR aufbaut.
Laut einem Blog-Eintrag der Tor-Entwickler haben sie bei dieser Gelegenheit auch noch weitere Bugs gefixt und auch aktuelle Versionen von HTTPS Everywhere und NoScript implementiert.