Angreifer könnten Firefox, Firfefox ESR und Tor Browser attackieren und schlimmstenfalls aus der Sandbox der Browser ausbrechen oder Schadcode ausführen. Abgesicherte Versionen stehen zum Download bereit. Insgesamt gilt das Sicherheitsrisiko als "kritisch".

Die Sandbox-Lücke (CVE-2019-9811) haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own im März 2019 entdeckt – nun gibt es ein Sicherheitsupdate. Die Schwachstelle bedroht Firefox und Firefox ESR. Da der anonymisierende Tor Browser auf Firefox ESR basiert, ist auch dieser betroffen. Damit ein Ausbruch klappt, muss ein Angreifer ein Opfer dazu bringen, ein manipuliertes Sprachpaket zu installieren.

In einer Sicherheitswarnung führt Mozilla noch Infos zu weiteren Lücken auf. So könnten Angreifer Speicherfehler auslösen und Browser dadurch zum Absturz bringen. In der Theorie könnte das auch ein Einfallstor für Schadcode sein.

Sicherheitsupdates

Abgesichert sind die Versionen Firefox 68 und Firefox ESR 60.8. Vom Tor Browser ist die reparierte Ausgabe 8.5.4 erschienen. Neben der aktuellen ESR-Version haben die Entwickler noch OpenSSL und Torbutton aktualisiert, schreibt das Tor-Team in einem Beitrag. (des)