Der Browseranbieter Mozilla reagiert auf eine aktuelle Bedrohungslage: Mit einem frischen Update wird eine Lücke im Firefox geschlossen, die bereits aktiv zur Identifizierung von Nutzern des Anonymisierungsnetzwerks Tor eingesetzt wurde.

Update

Firefox 50.0.2 bereinigt nun das Problem, parallel dazu wurde auch ein neue Version des Tor Browsers (6.0.7) veröffentlicht, der auf Firefox basiert. Ebenfalls aktualisiert wurde der Mail-Client Thunderbird mit der Version 45.5.1, Firefox ESR 45.5.1 beseitigt den Bug ebenso.

Bei dem Bug handelt es sich um einen Fehler in der Verarbeitung von SVG-Animationen. Dieser ließ sich mithilfe eines Javascript-Exploits vergleichsweise einfach ausnutzen, der gezielt auf die Deanonymisierung von Tor-Usern abzielte. Dabei handelt es sich um ein nur minimal angepasste Variante eines bereits 2013 aufgetauchten Angriffs gegen Tor-Nutzer.

Reaktion

Angesichts der Schwere des Problems, Angreifer könnten theoretisch auch Schadcode einschmuggeln und mit Rechten des Users zur Ausführung bringen, wird ein umgehendes Update empfohlen. (apo, 1.12.2016)