Update: Kritische Sicherheitslücke in Mozilla Firefox - aktiv ausgenützt - Patch jetzt verfügbar

30. November 2016

Update 1. Dezember 2016

Beschreibung

Wie in diversen Medien berichtet wird, gibt es eine kritische Sicherheitslücke in aktuellen Versionen des Mozilla Firefox Browsers, für die noch kein Patch zur Verfügung steht. Diese wird auch bereits aktiv ausgenützt.

Auswirkungen

Durch Ausnützen dieser Lücke kann ein Angreifer laut den Berichten beliebigen Code auf betroffenen Systemen ausführen, mit den Rechten des angemeldeten Benutzers. Dazu reicht es, den Browser zum Anzeigen einer entsprechend präparierten Webseite zu bringen, Links dazu können etwa per Spam-Mail verbreitet werden.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen folgende Software von Mozilla installiert ist:
  • Mozilla Firefox Version 41 bis einschliesslich der aktuellen Version 50
Das TOR Browser Bundle benutzt Version 45 von Mozilla Firefox und ist damit auch betroffen.

In den Berichten ist nur von Problemen auf Microsoft Windows-Systemen zu lesen, sicherheitshalber sollte aber davon ausgegangen werden, dass dieses Problem auch auf anderen Betriebssystemen (etwa Linux, Android) besteht.

Abhilfe

  • Sobald ein entsprechendes Update zur Verfügung steht, dieses einspielen.
  • Der Exploit basiert auf JavaScript, versierte Nutzer können durch Abschalten von JavaScript das Problem vermeiden. Add-Ons wie NoScript können das im Betrieb erleichtern.
  • Bis zum Erscheinen eines entsprechenden Patches Ausweichen auf einen anderen Browser (etwa Opera, Google Chrome, Chromium, Apple Safari, Microsoft Internet Explorer/Edge)
Update 1. Dezember 2016
Mozilla hat nun eine entsprechend fehlerbereinigte Version von Firefox veröffentlicht (50.0.2). Diese sollte im Lauf des Tages auf entsprechend konfigurierten Installationen automatisch ausgerollt werden, kann aber auch manuell installiert werden.
Ein Beitrag im Mozilla Security Blog hat die Details: https://blog.mozilla.org/security/2016/11/30/fixing-an-svg-animation-vulnerability/.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Artikel bei Golem
http://www.golem.de/news/0-day-nutzer-des-tor-browsers-werden-mit-javascript-angegriffen-1611-124784.html
Meldung bei Heise Security
https://www.heise.de/security/meldung/Zero-Day-Exploit-bedroht-Firefox-und-Tor-Nutzer-3518557.html
Mozilla Foundation Security Advisory 2016-92 (englisch)
https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/