[Warning] Kritische Sicherheitslücke in Mozilla Firefox - aktiv ausgenützt - keine Patches verfügbar

Robert Waldner waldner at cert.at
Wed Nov 30 13:41:39 CET 2016 

30. November 2016

Beschreibung

   Wie in diversen Medien berichtet wird, gibt es eine kritische
   Sicherheitslücke in aktuellen Versionen des Mozilla Firefox Browsers,
   für die noch kein Patch zur Verfügung steht. Diese wird auch bereits
   aktiv ausgenützt.

Auswirkungen

   Durch Ausnützen dieser Lücke kann ein Angreifer laut den Berichten
   beliebigen Code auf betroffenen Systemen ausführen, mit den Rechten
   des angemeldeten Benutzers. Dazu reicht es, den Browser zum Anzeigen
   einer entsprechend präparierten Webseite zu bringen, Links dazu
   können etwa per Spam-Mail verbreitet werden.
   Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
   erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme
   gefährdet.

Betroffene Systeme

   Systeme, auf denen folgende Software von Mozilla installiert ist:
     * Mozilla Firefox Version 41 bis einschliesslich der aktuellen
       Version 50

   Das TOR Browser Bundle benutzt Version 45 von Mozilla Firefox und ist
   damit auch betroffen.

   In den Berichten ist nur von Problemen auf Microsoft Windows-Systemen
   zu lesen, sicherheitshalber sollte aber davon ausgegangen werden,
   dass dieses Problem auch auf anderen Betriebssystemen (etwa Linux,
   Android) besteht.

Abhilfe

     * Sobald ein entsprechendes Update zur Verfügung steht, dieses
       einspielen.
     * Der Exploit basiert auf JavaScript, versierte Nutzer können durch
       Abschalten von JavaScript das Problem vermeiden. Add-Ons wie
       NoScript können das im Betrieb erleichtern.
     * Bis zum Erscheinen eines entsprechenden Patches Ausweichen auf
       einen anderen Browser (etwa Opera, Google Chrome, Chromium, Apple
       Safari, Microsoft Internet Explorer/Edge)

   Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
   verfügen, werden wir diese Warnung entsprechend updaten - die
   aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern
   zurückzugreifen, sowie parallel Firewall-Software aktiv und den
   Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Artikel bei Golem

http://www.golem.de/news/0-day-nutzer-des-tor-browsers-werden-mit-javascript-angegriffen-1611-124784.html
   Meldung bei Heise Security

https://www.heise.de/security/meldung/Zero-Day-Exploit-bedroht-Firefox-und-Tor-Nutzer-3518557.html

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20161130/27922b72/attachment.sig>

More information about the Warning mailing list