Mozilla hatte in seinen Firefox-Browser erst kürzlich mit dem Update auf Version 50.0.1 eine
kritische Sicherheitslücke behoben, jetzt muss der Entwickler erneut einen
kritischen Bug beseitigen. Die Lücke wird bereits von Hackern ausgenützt, um gezielt Nutzer des anonymen Tor-Netzwerks zu attackieren. Bei einer erfolgreichen Attacke können Angreifer Schadcode auf dem betroffenen Windows-System ausführen. Mozilla verteilt bereits das
Update auf Version 50.0.2, für Nutzer des Tor-Browsers steht die neue
Version 6.0.7 zum Download bereit.
Bei der Sicherheitslücke handelt es sich um einen sogenannten Use-After-Free-Fehler, der Angriffe über JavaScript erlaubt, wie der Sicherheitsexperte Joshua Yabut der Tech-Webseite
Ars Technica erläutert. Der für die Angriffe eingesetzte Exploit-Code ist speziell konzipiert für die Firefox-Versionen 41 - 50, mitsamt der ESR-Version 45 auf der wiederum der Tor-Browser aufbaut.
Wie der Sicherheitsforscher TheWack0lian auf Twitter mitteilt, ähnelt der Angriff dem bereits im Jahr 2013 kursierenden Magneto-Exploit, den das FBI zum Ausspähen des Tor-Netzwerkes verwendet hatte. Ein Großteil des Codes sei identisch aufgebaut.