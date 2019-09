Die vor wenigen Tagen erschienene Firefox-Version 69 enthält neben zahlreichen Neuerungen auch eine ganze Reihe wichtiger Schwachstellen-Fixes. Gleiches gilt für die neuen Versionen 60.9 und 68.1 der ESR (Extended Support Relase)-Version des Browsers – und für den (weiterhin) auf ESR 60.x basierenden Tor Browser. Letzterer ist jetzt in Version 8.5.5 verfügbar.

Windows-only: Kritische Schwachstelle

Wie Mozillas Security Advisories zu Firefox 69 und zu ESR 68.1 zu entnehmen ist, schließen beide Versionen eine als kritisch eingestufte – allerdings Windows-spezifische – Schwachstelle.

Um CVE-2019-11751 auszunutzen, müsste ein Angreifer sein Opfer dazu bringen, Firefox aus dem Kontext eines anderes Programms auszuführen, etwa durch Anklicken eines Links in einem Chat. Gelingt dies, könnte er dank unzureichender Überprüfungen von Kommandozeilenparametern Logfiles an beliebigen Orten speichern. So etwa auch im Autostart-Ordner des Betriebssystems, um enthaltenen Schadcode beim nächsten Hochfahren des Systems zur Ausführung zu bringen.

Zu der kritischen Schwachstelle gesellen sich neun (ESR 68.1) beziehungsweise 11 (Firefox 69) Schwachstellen mit "High"- sowie einige mit "Medium"-Einstufung.

Rechterweiterungen und Crash-Potenzial

Im Security Advisory zu ESR 60.9 tauchen sieben "Highs" auf – Schwachstellen, die somit auch im Tor Browser geschlossen wurden. Unter anderem hätten Angreifer sie missbrauchen können, um den Mozilla-Wartungsdienst mit erweiterten Rechten auszuführen oder potenziell exploitbare Abstürze des Browsers zu provozieren.

Die Entwickler des Tor Browsers haben zusätzlich zur Aktualisierung der zugrundeliegenden ESR-Version noch weitere Bugfixes vorgenommen. Details sind der Relase-Ankündigung zum Tor Browser 8.5.5 zu entnehmen.

(ovw)