Firefox Zero-Day-Exploit

D

DaDo80

Gast

• 30. November 2016

• #1

Ein Zero-Day-Exploit in den Firefox Ver. 41-50 ist aufgefallen und wird auch schon ausgenutzt.
Ein Patch ist in Arbeit, bis dahin wird empfohlen den Firefox nicht mehr zu benutzten da x-beliebiger Schadcode ausgeführt werden kann.

http://www.pcgameshardware.de/Firef.../Zero-Day-Exploit-in-Firefox-und-TOR-1214825/

https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html

 

leipziger1979

Rear Admiral

Registriert

Dez. 2014

Beiträge

6.073

• 30. November 2016

• #2

Und ?
Wenn man vor jedem Zero-Day Angst hat kann man gar nicht mehr ins Internet gehen.

 

H

hrafnagaldr

Gast

• 30. November 2016

• #3

DaDo80 schrieb:

Ein Patch ist in Arbeit, bis dahin wird empfohlen den Firefox nicht mehr zu benutzten da x-beliebiger Schadcode ausgeführt werden kann.

Zum Vergrößern anklicken....

Oder man nutzt sowieso NoScript und es passiert garnix.

 

TimBerlin

Lt. Commander

Registriert

März 2010

Beiträge

1.902

• 30. November 2016

• #4

kann mich ja nicht treffen, habe 50.0.1 dran.

 

D

DaDo80

Gast

• 30. November 2016

• #5

TimBerlin schrieb:

kann mich ja nicht treffen, habe 50.0.1 dran.

Zum Vergrößern anklicken....

Soweit ich mitbekommen habe ist diese Ver. auch betroffen. Ein Patch wurde noch gar nicht veröffentlicht.

 

C

CrazyWolf

Lt. Commander

Registriert

Jan. 2004

Beiträge

1.911

• 30. November 2016

• #6

Bei Tor Project wird man ja auch gewarnt. Wenn das ein Javascript Exploit ist, und man sowieso Noscript aktiviert hat, ist man dann trotzdem gefährdet?

 

Der-Orden-Xar

Commander

Registriert

Okt. 2007

Beiträge

2.662

• 30. November 2016

• #7

Es soll auch ohne JavaScript funktionieren.
Aber eben ist 45.5.1ESR bzw 50.0.2 auf der Mozilla-Seite aufgetaucht, damit sollte das Problem wohl beseitigt werden.

 

leipziger1979

Rear Admiral

Registriert

Dez. 2014

Beiträge

6.073

• 1. Dezember 2016

• #8

Laut Beschreibung ja:

Description

A use-after-free vulnerability in SVG Animation has been discovered. An exploit built on this vulnerability has been discovered in the wild targeting Firefox and Tor Browser users on Windows.

Zum Vergrößern anklicken....

https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/

 

Hauro

Fleet Admiral

Registriert

Apr. 2010

Beiträge

13.632

• 1. Dezember 2016

• #9

DaDo80 schrieb:

http://www.pcgameshardware.de/Firef.../Zero-Day-Exploit-in-Firefox-und-TOR-1214825/

Zum Vergrößern anklicken....

Für mich ein typischer Clickbaiting Artikel. Solche Fehler werden meist, wie auch jetzt, innerhalb eines Tages behoben.

 

M

maggus14

Ensign

Registriert

Apr. 2016

Beiträge

240

• 1. Dezember 2016

• #10

Der-Orden-Xar schrieb:

Es soll auch ohne JavaScript funktionieren.

Zum Vergrößern anklicken....

Wie soll das gehen?

Die Lücke ist deswegen interessant, weil das FBI damit Tor Nutzern mal wieder Malware unterschrieben will. Bei deaktiviertem Javascript oder aktiviertem NoScript soll es keine Möglichkeit geben, die wahren IP-Adressen herauszufinden.

 

Der-Orden-Xar

Commander

Registriert

Okt. 2007

Beiträge

2.662

• 1. Dezember 2016

• #11

1. Ist das nicht nur eine FBI-Lücke und 2. nicht nur eine TOR-Lücke.
Ich habe mir den Bug 1321066 nicht explizit durchgelesen, an anderer Stelle gab es aber einen Kommentar, wo behauptet wurde, es sei primär ein Bug bezüglich SVG und nicht JavaScript.
Vielleicht hätte ich "Angeblich soll..." schreiben sollen^^