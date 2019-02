Die Webbrowser Firefox, Firefox ESR und der anonymisierende Tor Browser sind verwundbar. Nutzer sollten die abgesicherten Ausgaben installieren. Mozilla stuft das Risiko in einer Sicherheitswarnung insgesamt als "kritisch" ein.

Nutzen Angreifer die Lücken aus, sollen sie in vielen Fällen Speicherfehler auslösen können. Klappt das, stürzen Anwendungen in der Regel ab (DoS-Attacke). Oft ist es auf diesem Weg aber auch möglich, Schadcode auszuführen. In einem Fall (CVE-2018-18500) reicht es Mozilla zufolge aus, wenn Firefox bestimmte HTML5-Streams verarbeitet, um einen Angriff einzuleiten.

Die abgesicherten Versionen Firfox 65, Firefox ESR 60.5 und Tor Browser 8.0.5 stehen zum Download bereit. Der Tor Browser ist von den Lücken betroffen, weil er auf Firefox ESR aufbaut. Wie aus einem Blog-Eintrag der Tor-Entwickler hervorgeht, haben sie noch weitere Bugs gefixt und aktuelle Versionen von HTTPS Everywhere und NoScript implementiert.

Sicherheitsausblick Firefox

Mozilla will in Firefox 66 standardmäßig einen neuen Sicherheitsmechanismus aktivieren, der erkennen soll, wenn Drittanbieter-Apps sich als Man in the Middle in HTTPS-Verbindungen einklinken. Eine Warnung zeigt dann an, dass die Verbindung nicht sicher ist. Neben Malware brechen auch einige Antiviren-Produkte verschlüsselte Verbindungen auf. AV-Anwendungen machen das, um etwaige Schadsoftware im Datenverkehr zu entdecken. Diesen Ansatz kritisieren Sicherheitsforscher schon seit einiger Zeit.

In einer noch nicht kommunizierten Firefox-Ausgabe planen die Entwickler Browser-Erweiterungen im privaten Modus standardmäßig zu deaktivieren. So wollen sie verhindern, dass Add-ons Nutzer in diesem Modus tracken. Auf Wunsch kann man den Entwicklern zufolge gewünschte Erweiterungen manuell aktivieren.

Derzeit kann man das schon mit der Nightly-Version Firefox 67 ausprobieren. Um die Funktion zu aktivieren, muss man in die Adresszeile about:config eingeben und den Wert extensions.allowPrivateBrowsingByDefault auf false stellen.

[UPDATE, 01.02.2019 11:20 Uhr]

Stable-Version vom Tor Browser im Fließtext eingefügt. (des)