Tor-Browser-Update schließt kritische Firefox ESR-Lücke

Das erste stabile Tor Browser-Release des neuen Jahres steht seit dem gestrigen Mittwoch für die Betriebssysteme Windows, macOS und Linux zum Download bereit. Auch für das mobile Betriebssystem Android ist diese Version verfügbar. Die Version Tor 10.0.8 des anonymisierenden Web-Browsers auf Firefox-ESR-Basis bringt mit der Aktualisierung auf Firefox ESR 78.6.1  ein wichtiges Sicherheitsupdate für die Desktop-Varianten. Bei der mobilen Browser-Version  wurde Firefox für Android auf die Version 84.1.4 angehoben. Dazu kommen jeweils ein Update des Skriptblockers NoScript auf die Version 11.1.7 und auch Browser-Bugfixes unter macOS und Android. Mit der Firefox ESR-Version 78.6.1 wurde der Browser von Mozilla gegen eine kritische Sicherheitslücke abgesichert. Ergänzende Informationen und Download Informationen zu dem Update finden Nutzer in Changelog der Release-Ankündigung zum Tor Browser 10.0.8. Die neue Tor Browser-Version kann ab sofort von der offiziellen Download-Site oder aus dem Distribution Directory heruntergeladen werden. Wegen des wichtigen Schließung der Sicherheitslücke in der Firefox ESR-Basis empfehlen wir das zeitnahe Aktualisieren schon bestehender Installationen.

2021-01-14T17:04:35+02:00Januar 14th, 2021|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Tor-Browser-Update schließt kritische Firefox ESR-Lücke
Weiterlesen

Firefox 68 verhindert Ausbruch aus der Sandbox

Die Browser Firefox, Firefox ESR und der anonymisierende Tor-Browser sind angreifbar, und die Angreifer können alle drei Mozilla-Browser im schlimmsten Fall aus der Sandbox ausbrechen lassen oder Schadcode ausführen. Die abgesicherten Versionen  stehen jetzt zum Download bereit. Die dafür genutzte Sandbox-Lücke (CVE-2019-9811) haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own im März 2019 entdeckt – jetzt gibt es auch das Sicherheitsupdate, um die Lücke zu schließen. Die Sicherheitslücke besteht in Firefox und in der Langzeitversion Firefox ESR. Weil der anonymisierende Tor Browser auch auf Firefox ESR basiert, ist er auch betroffen. Um einen erfolgreichen Ausbruch aus der Sandbox hinzulegen, muss der Angreifer allerdings sein Opfer dazu bringen, ein manipuliertes Sprachpaket zu installieren – das relativiert natürlich die Gefährlichkeit. In seiner Sicherheitswarnung dazu gibt Mozilla noch Informationen zu weiteren Sicherheitslücken. Darüber könnten Angreifer Speicherfehler auslösen und den Browser so zum Absturz bringen. Das könnte dann als Einfallstor für Schadcode genutzt werden.. Die Sicherheitsupdates für die Firefox-Varianten Als abgesichert gelten die Versionen Firefox 68 und Firefox ESR 60.8. Vom Tor Browser ist die gehärtete Ausgabe 8.5.4 erschienen. Außer der Aktualisierung der ESR-Version haben die Entwickler auch noch OpenSSL und Torbutton aktualisiert, schreibt das Tor-Team in einem Blogbeitrag.

2019-07-11T23:59:11+02:00Juli 11th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Firefox 68 verhindert Ausbruch aus der Sandbox
Weiterlesen

HTML5-Sicherheitsupdates für den Browser Firefox

Probleme mit HTML5 haben Mozilla jetzt veranlasst, Sicherheitsupdates herauszubringen: Die Browser Firefox, Firefox ESR und der anonymisierende Tor Browser, die Eintrittskarte für das Dark Net, sind durch HTML5 verwundbar. Alle Benutzer sollten deshalb die von Hersteller Mozilla herausgegebenen, abgesicherten Ausgaben umgehend installieren. Mozilla stuft das Risiko in seiner Sicherheitswarnung dazu insgesamt als "kritisch" ein. Details zu den Sicherheitslücken Wenn Angreifer die Lücken ausnutzen, sollen sie in vielen Fällen Speicherfehler auslösen können. Wenn das dann passiert ist, stürzen Programme in aller Regel ab (DoS-Attacke). Auf diesem Weg aber ist es dann aber auch häufig möglich, Schadcode ausführen zu lassen. In einem Fall (CVE-2018-18500) reicht es nach Angaben von Mozilla schon aus, wenn Firefox bestimmte HTML5-Streams verarbeitet, um einen Angriff durchzuführen. Mozilla hat abgesicherte Versionen von Firfox 65, Firefox ESR 60.5 und Tor Browser 8.0.5 zum Download bereitgestellt. Der Tor Browser die Sicherheitslücken deshalb auf, weil er auf dem Firefox ESR aufbaut. Laut einem Blog-Eintrag der Tor-Entwickler haben sie bei dieser Gelegenheit auch noch weitere Bugs gefixt und auch aktuelle Versionen von HTTPS Everywhere und NoScript implementiert.

2019-02-03T00:46:25+02:00Februar 3rd, 2019|Browser, Coding, HTML|Kommentare deaktiviert für HTML5-Sicherheitsupdates für den Browser Firefox
Weiterlesen

In Firefox 69 wird Adobes Flash deaktiviert sein

Am 3. September dieses Jahres soll der Browser Firefox 69 erscheinen, bei dem das Flash-Plugin standardmäßig deaktiviert sein wird. Das kann man einem Bugzilla-Ticket entnehmen, das von Jim Mathies, Senior Engineering Manager bei Mozilla, erstellt wurde. Schon im Sommer 2017 hatte Hersteller Mozilla angekündigt, das im Grunde nicht mehr nötige Flash schrittweise aus seinem Browser zu entfernen. Das Flash-Plugin muss ab Version 69 also aktiviert werden, ist aber noch nutzbar. Wenn Adobe dann aber "Ende 2020 die Auslieferung von Sicherheitsupdates für Flash einstellt, wird Firefox das Plugin nicht mehr ausführen", erklärt Mozillas Roadmap. Nächstes Jahr ist es mit Flash in Firefox ganz vorbei Anfang 2020 ist dann zumindest für Privatanwender endgültig Schluss mit Flash im Firefox. Enterprise-Kunden können Flash dann noch bis Ende 2020 weiter nutzen. Wer den Firefox ESR benutzt dürfte sich wohl dann mit Firefox 76 von Flash im Firefox verabschieden müssen, schreibt Firefox-Experte Sören Hentzschel. Das Flash-Plugin gehört zu dem letzten NPAPI-Plugins, die der Firefox-Browser überhaupt noch unterstützt, denn die NPAPI-Schnittstelle ist veraltet und stellt ein deutliches Sicherheitsrisiko dar, unter anderem, weil diese Plugins nicht in einer Sandbox laufen. Konkurrent Google hatte sich schon Ende 2013 von NPAPI verabschiedet und die Schnittstelle auch kurz darauf in seinem Chrome-Browser abgeschaltet, und auch Firefox für Android unterstützt schon seit [...]

2019-01-14T20:22:59+02:00Januar 14th, 2019|Browser, Coding, HTML, Webwerkzeuge|Kommentare deaktiviert für In Firefox 69 wird Adobes Flash deaktiviert sein
Weiterlesen
Nach oben