Die Sandbox-Lücke (CVE-2019-9811) haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own im März 2019 entdeckt – und jetzt gibt es auch Sicherheitsupdates, um die Lücke dicht zu machen.
Die Sicherheitslücke findet sich im Firefox und in seiner Langzeitversion Firefox ESR. Da der anonymisierende Tor Browser auch auf Firefox ESR basiert, ist er ebenfalls betroffen.
Für einen erfolgreichen Ausbruch aus der Sandbox muss der Angreifer allerdings sein Opfer dazu bewegen, ein manipuliertes Sprachpaket zu installieren – und das relativiert die Gefährlichkeit.
In einer Sicherheitswarnung dazu gibt Mozilla noch Informationen zu weiteren Sicherheitslücken. Über die könnten Angreifer Speicherfehler auslösen und den Browser dadurch zum Absturz bringen. Das könnte dann als zur Installation von Schadcode genutzt werden..
Sicherheitsupdates für die drei Firefox-Varianten
In den Versionen Firefox 68 und Firefox ESR 60.8 sind die Lücken geschlossen. Vom Tor Browser ist auch schon die gehärtete Ausgabe 8.5.4 erschienen. Neben der Aktualisierung der ESR-Version haben die Tor-Entwickler auch noch OpenSSL und Torbutton aktualisiert, schreibt das Tor-Team in einem Blogbeitrag.