Mozilla und die Entwickler des Tor Browsers haben in aktuellen Versionen mehrere mit dem Bedrohungsgrad „hoch“ eingestufte Lücken geschlossen.

Die Webbrowser Firefox, Firefox ESR und der anonymisierende Tor Browser sind unter allen Betriebssystemen angreifbar. Insgesamt haben die Entwickler vier Sicherheitslücken beseitigt. Das Ausnutzen kann in allen Fällen unter gewissen Umständen dazu führen, dass Angreifer Schadcode ausführen können. Das von allen Schwachstellen ausgehende Risiko stuft Mozilla in einer Sicherheitswarnung mit „hoch“ ein.

Die Versionen Firefox 65.0.1, Firefox ESR 60.5.1 und Tor Browser 8.0.6 sind abgesichert. Der Tor Browser ist betroffen, da er Firefox ESR als Fundament hat. Die Sicherheitslücken finden sich in der Skia Graphics Engine. Mit speziellen Operationen könnten Angreifer Speicherfehler (integer overflow, use-after-free) auslösen, um so eigenen Code in Speicherbereiche zu schieben und auszuführen.

Aus einem Beitrag zum aktuellen Tor Browser geht hervor, dass die Entwickler neben der aktuellen Ausgabe von Firefox ESR noch HTTPS Everywhere in der Version 2019.1.31 implementiert haben.