Firefox: Mozilla schließt Zero-Day-Lücke
Der Fehler steckt in der Komponente SVG Animation. Er erlaubt das Einschleusen und Ausführen von Schadcode. Ein Angreifer muss ein Opfer lediglich auf eine speziell präparierte Website locken.
Mozilla hat seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Es ist bereits das zweite außerplanmäßige Update für Firefox innerhalb einer Woche. Die Entwickler schließen damit eine am Dienstag bekannt gewordene kritische Zero-Day-Lücke, die vor allem Nutzer des Anonymisierungsnetzwerks The Onion Router (Tor) bedroht.
Einem Security Advisory zufolge steckt in der Komponente SVG Animation ein Use-after-free-Bug. Er erlaubt es, Schadcode einzuschleusen und auszuführen. Betroffen sind Firefox 50.0.1 und früher, das Extended Support Release 45.5.0 und auch der E-Mail-Client Thunderbird in der Version 45.5.0 und früher.
“Dienstag früh wurde Mozilla der Code für einen Exploit zur Verfügung gestellt, der eine zuvor unbekannte Schwachstelle in Firefox ausnutzt”, schreibt Daniel Veditz, Security Lead bei Mozilla, in einem Blogeintrag. “Der Exploit wurde später von einer anderen Person auf einer öffentlichen Mailing-Liste des Tor-Projekts veröffentlicht.”
Ein Angreifer muss demnach ein Opfer dazu verleiten, eine speziell gestaltete Website zu besuchen, die gefährlichen JavaScript- und SVG-Code enthält. Der Exploit wiederum funktioniert derzeit nur unter Windows. Die Anfälligkeit selbst stecke aber auch in Firefox für Mac OS X und Linux, so Veditz weiter.
Da der Exploit in der Lage ist, die IP- und Mac-Adresse eines Systems auszuspähen und an einen Server im Internet zu übertragen, können die Angreifer unter Umständen Nutzer des Anonymisierungsnetzwerks identifizieren. Veditz vergleicht die Sicherheitslücke deswegen auch mit einem früheren Bug, den das FBI benutzt haben soll, um gegen Tor-Nutzer zu ermitteln.
“Die Ähnlichkeit hat zu Spekulationen geführt, dass dieser Exploit vom FBI oder einer anderen Strafverfolgungsbehörde entwickelt wurde. Bisher wissen wir aber nicht, ob dem so ist. Sollte der Exploit aber tatsächlich von einer Regierung entwickelt und angewendet worden sein, ist die Tatsache, dass er veröffentlicht wurde und nun von jedem benutzt werden kann, um Firefox-Nutzer anzugreifen, ein klarer Beleg dafür, wie angeblich eingeschränktes staatliches Hacking zu einer Bedrohung für das Web werden kann”, ergänzte Veditz.
Das Update kann ab sofort manuell für Windows, Mac OS X und Linux von der Mozilla-Website geladen werden. Veditz zufolge sollten sich vorhandene Firefox-Installationen im Lauf der nächsten 24 Stunden automatisch aktualisieren.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.