Die Entdeckung einer Sandbox-Lücke (CVE-2019-9811) bei dem Hacker-Wettbewerb Pwn2Own im März 2019 hat Forscher alarmiert. Diese Sicherheitslücke ermöglicht es Angreifern, Firefox, Firefox ESR und Tor Browser zu attackieren und sogar aus der Sandbox des Browsers auszubrechen oder Schadcode auszuführen. Das Sicherheitsrisiko wird als "kritisch" eingestuft. Nutzer sollten sich die abgesicherten Versionen herunterladen um sich vor möglichen Angriffen zu schützen. Um auszubrechen müsste ein Angreifer das Opfer dazu bringen ein manipuliertes Sprachpaket zu installieren.
In einer Sicherheitswarnung führt Mozilla noch Infos zu weiteren Lücken auf. So könnten Angreifer Speicherfehler auslösen & Browser dadurch zum Absturz bringen. In der Theorie könnte das ebenfalls ein Einfallstor für Schadcode sein.
Sicherheitsupdates
Abgesichert sind die Versionen Firefox 68 und Firefox ESR 60․8. Vom Tor Browser ist die reparierte Ausgabe 8.5.4 erschienen. Neben der aktuellen ESR-Version haben die Entwickler noch OpenSSL und Torbutton aktualisiert, schreibt das Tor-Team in einem Beitrag.
Kommentare