Zero-Day-Lücke in Firefox deckt Identität von Tor-Nutzern auf
Ein JavaScript-Exploit gefährdet derzeit Nutzer des Anonymisierungs-Netzwerk Tor. Ausgenutzt wird dabei eine Sicherheitslücke im Webbrowser Firefox, der als Basis für den Tor-Browser dient. Für Tor-Nutzer heißt es so erst einmal JavaScript deaktivieren und auf ein angekündigtes Update warten.
Über eine Mailingliste des Anonymisierungs-Netzwerks Tor wurde über die Zero-Day-Lücke in Firefox informiert (via Word Fence). Die Sicherheitslücke wird demnach bereits aktiv ausgenutzt und ist im Prinzip aufgebaut wie ein Exploit, mit dem die US-Bundespolizei FBI vor gut drei Jahren in einer Fahndung Nutzer des Tor-Netzwerks aufgedeckt hatte. Damals übertrugt der verwendete Code die echten IP-Adressen, MAC Adressen sowie die Windows Computer Namen an einen Server. Es sei nahezu der gleiche Code, der damals wie heute zum Einsatz kommt, heißt es in einer Aussage des Twitter-Nutzers TheWack0lian.
Siehe auch: Tor Browser bekommt nach einigen FBI-Hacks eine neue Härtung
Firefox hatte dabei gerade erst eine weitere Sicherheitslücke geschlossen. Das Bundesamt für Sicherheit in der Informationstechnik warnte vor der Lücke, die nun unter CVE-2016-9078 geführt wird. Da heißt es: "Eine Schwachstelle in Mozilla Firefox ermöglicht es einem entfernten, nicht authentisierten Angreifer die Same-Origin-Policy einer Domäne zu umgehen und unerlaubt Ressourcen von außerhalb der Domäne nachzuladen. Der Hersteller klassifiziert das von der Schwachstelle ausgehende Schadenspotential als 'sehr hoch' und stellt die Version 50.0.1 als Sicherheitsupdate bereit."
Version 50.0.1 ist zwar kein direkter Patch für den Exploit der Tor bedroht - aber laut dem aktuellen Wissenstand kann der Exploit in der jüngsten Firefox-Version nicht ausgeführt werden. Die Hacker müssten den Code aber nur anpassen. Tor-Nutzer müssen sich nun gedulden, bis Mozilla einen Patch fertiggestellt hat, mit dem die Tor-Entwickler die Sicherheitslücke effektiv schließen können.
Nachtrag: Das Update für den Tor-Browser und für Firefox ebenso ist bereits erschienen. Danke für den Hinweis! Version 6.0.7 beinhaltet ein Security-Update für Firefox und ein Update für NoScript. Mehr dazu im Blog vom Tor Projekt.
Download Mozilla Firefox 50.0.2 - inkl. Security-Fix Download Tor Browser-Paket 6.0.7 - aktualisierte Version
Spuren führen nach Frankreich
Die Schwachstelle betrifft alle Firefox-Versionen ab 41 bis 50, und damit auch den Tor-Browser, da er in der aktuellen Variante auf Firefox 45 basiert. Es besteht kein Hinweis, dass das FBI nun wieder im Tor-Netz unterwegs sei, aber man habe die Befürchtung, die damals genutzte Schwachstelle sei über die staatlichen Hacker an die Öffentlichkeit gelangt. Vielmehr habe man bislang die unbekannten Hacker bis nach Frankreich zurückverfolgen können.Siehe auch: Tor Browser bekommt nach einigen FBI-Hacks eine neue Härtung
Firefox hatte dabei gerade erst eine weitere Sicherheitslücke geschlossen. Das Bundesamt für Sicherheit in der Informationstechnik warnte vor der Lücke, die nun unter CVE-2016-9078 geführt wird. Da heißt es: "Eine Schwachstelle in Mozilla Firefox ermöglicht es einem entfernten, nicht authentisierten Angreifer die Same-Origin-Policy einer Domäne zu umgehen und unerlaubt Ressourcen von außerhalb der Domäne nachzuladen. Der Hersteller klassifiziert das von der Schwachstelle ausgehende Schadenspotential als 'sehr hoch' und stellt die Version 50.0.1 als Sicherheitsupdate bereit."
Version 50.0.1 ist zwar kein direkter Patch für den Exploit der Tor bedroht - aber laut dem aktuellen Wissenstand kann der Exploit in der jüngsten Firefox-Version nicht ausgeführt werden. Die Hacker müssten den Code aber nur anpassen. Tor-Nutzer müssen sich nun gedulden, bis Mozilla einen Patch fertiggestellt hat, mit dem die Tor-Entwickler die Sicherheitslücke effektiv schließen können.
Nachtrag: Das Update für den Tor-Browser und für Firefox ebenso ist bereits erschienen. Danke für den Hinweis! Version 6.0.7 beinhaltet ein Security-Update für Firefox und ein Update für NoScript. Mehr dazu im Blog vom Tor Projekt.
Download Mozilla Firefox 50.0.2 - inkl. Security-Fix Download Tor Browser-Paket 6.0.7 - aktualisierte Version
Thema:
Beliebte Firefox-Downloads
Foren-Beiträge zum Firefox
-
Neu: Firefox 137.0 veröffentlicht: viele interessante Neuerungen
d-hubs -
Firefox 136 freigegeben: viele Neuerungen mit an Bord
d-hubs -
Firefox 135.0 freigegeben neue Features, diverse Updates und Fixes:
d-hubs -
Firefox jeden Tag neu starten
joe13 -
Mozilla Firefox 133 freigegeben: mit an Bord viele Verbesserungen
d-hubs
Weiterführende Links
Neue Nachrichten
- Neue Microsoft-Geräte: Surface Pro und Surface Laptop sind da
- Tesla Cybercab: Batteriegröße, Gewicht und Leistung bestätigt
- Apple iPhone 18: Zulieferer bestätigt die Verschiebung auf 2027
- Wahnsinns-Deal: Samsung Galaxy S26 Ultra mit 50 GB Telekom-Tarif
- Was Tesla nicht schafft, setzt Xiaomi um, und stellt Laderoboterarm vor
- Aktionäre klagen: Ist Microsofts KI- & Cloud-Boom auf Lügen gebaut?
- Zhuque-2E: Neueste China-Rakete zerbricht und bedroht Starlink
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen