Firefox Zero-Day-Exploit

DaDo80 · 30. November 2016

Ein Zero-Day-Exploit in den Firefox Ver. 41-50 ist aufgefallen und wird auch schon ausgenutzt.
Ein Patch ist in Arbeit, bis dahin wird empfohlen den Firefox nicht mehr zu benutzten da x-beliebiger Schadcode ausgeführt werden kann.

http://www.pcgameshardware.de/Firef.../Zero-Day-Exploit-in-Firefox-und-TOR-1214825/

https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html

leipziger1979 · 30. November 2016

Und ?

Wenn man vor jedem Zero-Day Angst hat kann man gar nicht mehr ins Internet gehen.

hrafnagaldr · 30. November 2016

DaDo80 schrieb:
Ein Patch ist in Arbeit, bis dahin wird empfohlen den Firefox nicht mehr zu benutzten da x-beliebiger Schadcode ausgeführt werden kann.

Oder man nutzt sowieso NoScript und es passiert garnix.

TimBerlin · 30. November 2016

kann mich ja nicht treffen, habe 50.0.1 dran.

DaDo80 · 30. November 2016

TimBerlin schrieb:
kann mich ja nicht treffen, habe 50.0.1 dran.

Soweit ich mitbekommen habe ist diese Ver. auch betroffen. Ein Patch wurde noch gar nicht veröffentlicht.

CrazyWolf · 30. November 2016

Bei Tor Project wird man ja auch gewarnt. Wenn das ein Javascript Exploit ist, und man sowieso Noscript aktiviert hat, ist man dann trotzdem gefährdet?

Der-Orden-Xar · 30. November 2016

Es soll auch ohne JavaScript funktionieren.
Aber eben ist 45.5.1ESR bzw 50.0.2 auf der Mozilla-Seite aufgetaucht, damit sollte das Problem wohl beseitigt werden.

leipziger1979 · 1. Dezember 2016

Laut Beschreibung ja:

Description

A use-after-free vulnerability in SVG Animation has been discovered. An exploit built on this vulnerability has been discovered in the wild targeting Firefox and Tor Browser users on Windows.

https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/

Hauro · 1. Dezember 2016

DaDo80 schrieb:
http://www.pcgameshardware.de/Firef.../Zero-Day-Exploit-in-Firefox-und-TOR-1214825/

Für mich ein typischer Clickbaiting Artikel. Solche Fehler werden meist, wie auch jetzt, innerhalb eines Tages behoben.

maggus14 · 1. Dezember 2016

Der-Orden-Xar schrieb:
Es soll auch ohne JavaScript funktionieren.

Wie soll das gehen?

Die Lücke ist deswegen interessant, weil das FBI damit Tor Nutzern mal wieder Malware unterschrieben will. Bei deaktiviertem Javascript oder aktiviertem NoScript soll es keine Möglichkeit geben, die wahren IP-Adressen herauszufinden.

Der-Orden-Xar · 1. Dezember 2016

1. Ist das nicht nur eine FBI-Lücke und 2. nicht nur eine TOR-Lücke.
Ich habe mir den Bug 1321066 nicht explizit durchgelesen, an anderer Stelle gab es aber einen Kommentar, wo behauptet wurde, es sei primär ein Bug bezüglich SVG und nicht JavaScript.
Vielleicht hätte ich "Angeblich soll..." schreiben sollen^^

Suche

Firefox Zero-Day-Exploit

DaDo80

Gast

leipziger1979

Rear Admiral

hrafnagaldr

Gast

TimBerlin

Lt. Commander

DaDo80

Gast

CrazyWolf

Lt. Commander

Der-Orden-Xar

Commander

leipziger1979

Rear Admiral

Hauro

Fleet Admiral

maggus14

Ensign

Der-Orden-Xar

Commander

Ähnliche Themen