Firefox, Firefox ESR und der anonymisierende Tor Browser sind verwundbar. Unter bestimmten Voraussetzungen könnten Angreifer unter anderem Schadcode auf Computern ausführen. Insgesamt gilt der Bedrohungsgrad als "hoch".

In Firefox 80 für alle Betriebssysteme hat Mozilla insgesamt zehn Sicherheitslücken geschlossen. Die als am gefährlichsten geltende Schwachstelle (CVE-2020-15663) bedroht ausschließlich Windows, schreiben die Entwickler in einem Beitrag.

Gefährliche Dateien und Erweiterungen

Wenn der Browser in einem von Nutzern beschreibbaren Ordner installiert ist, könnten Angreifer dem update.exe-Prozess eine präparierte Datei unterschieben, die der Prozess mit Admin-Rechten ausführt. Da der Prozess aber nur von Mozilla signierte Dateien akzeptiert, müssten Angreifer diesen Schutzmechanismus mit einer Downgrade-Attacke umgehen.

Durch das Ausnutzen einer anderen Schwachstelle (CVE-2020-15664) könnten Angreifer Opfern über manipulierte Websites ein womöglich mit Schadcode versehenes Add-on unterschieben. Darüber hinaus sind noch verschiedene Timing- und XSS-Attacken vorstellbar.

Wie aus einem Beitrag auf mozilla.org hervorgeht, haben die Entwickler in Firefox ESR 68.12 und 78.2 insgesamt drei Lücken mit dem Bedrohungsgrad "hoch" geschlossen. Dabei handelt es sich um die bereits genannten Schwachstellen.

Die sonstigen Änderungen in Firefox 80 halten sich in Grenzen. So lässt sich der Browser nun beispielsweise als Standard-PDF-Betrachter des Betriebssystems einstellen.

Sicherer im Tor-Netz surfen

Da der Tor Browser auf Firefox ESR basiert und somit von den Lücken betroffen ist, haben die Entwickler die abgesicherte Version 9.5.4 veröffentlicht. Neben dem abgesicherten Firefox ESR 68.12 bringt der aktuelle Tor Browser noch HTTPS Everywhere 2020.08.13 und NoScript 11.0.38 mit.

In einem Blog-Beitrag teilen die Entwickler mit, dass sie Ende September den Tor Browser in der Version 10 veröffentlichen wollen.

(des)