Die Mozilla-Browser Firefox, Firefox ESR und der anonymisierende Tor Browser, der auch die Eintrittskarte für das Dark Net ist, sind durch HTML5 verwundbar. Diese HTML5-Probleme haben Mozilla veranlasst, Sicherheitsupdates dagegen herauszubringen:
Nutzer der Firefox-Browser sollten deshalb die vom Hersteller Mozilla herausgegebenen, abgesicherten Ausgaben umgehend installieren. Mozilla hat das Risiko in seiner Sicherheitswarnung dazu insgesamt als “kritisch” eingestuft .
Einzelheiten zu den HTML5-Sicherheitslücken
Durch die Ausnutzung der Lücken können Angreifer in vielen Fällen Speicherfehler hervorrufen. Wenn das dann erst passiert ist, stürzt der Browser in aller Regel ab (DoS-Attacke).
Bei diesem Vorgang ist es dann aber auch häufig möglich, noch Schadcode ausführen zu lassen. In einer Variante (CVE-2018-18500) reicht es nach Angaben von Mozilla schon, wenn Firefox bestimmte HTML5-Streams verarbeitet, um einen Angriff durchzuführen.
Inzwischen hat Mozilla abgesicherte Versionen von Firefox 65, Firefox ESR 60.5 und Tor Browser 8.0.5 zum Download bereitgestellt. Der Tor Browser weist dieselben Sicherheitslücken deshalb auf, weil er auf dem Firefox ESR aufbaut.
Laut einem Blog-Eintrag der Tor-Entwickler wurden bei dieser Gelegenheit im neuen Browser Tor 8.0.5 auch noch weitere Bugs gefixt und auch aktuelle Versionen von HTTPS Everywhere und NoScript implementiert.