Firefox 68 verhindert Ausbruch aus der Sandbox

Die Browser Firefox, Firefox ESR und der anonymisierende Tor-Browser sind angreifbar, und die Angreifer können alle drei Mozilla-Browser im schlimmsten Fall aus der Sandbox ausbrechen lassen oder Schadcode ausführen. Die abgesicherten Versionen  stehen jetzt zum Download bereit. Die dafür genutzte Sandbox-Lücke (CVE-2019-9811) haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own im März 2019 entdeckt – jetzt gibt es auch das Sicherheitsupdate, um die Lücke zu schließen. Die Sicherheitslücke besteht in Firefox und in der Langzeitversion Firefox ESR. Weil der anonymisierende Tor Browser auch auf Firefox ESR basiert, ist er auch betroffen. Um einen erfolgreichen Ausbruch aus der Sandbox hinzulegen, muss der Angreifer allerdings sein Opfer dazu bringen, ein manipuliertes Sprachpaket zu installieren – das relativiert natürlich die Gefährlichkeit. In seiner Sicherheitswarnung dazu gibt Mozilla noch Informationen zu weiteren Sicherheitslücken. Darüber könnten Angreifer Speicherfehler auslösen und den Browser so zum Absturz bringen. Das könnte dann als Einfallstor für Schadcode genutzt werden.. Die Sicherheitsupdates für die Firefox-Varianten Als abgesichert gelten die Versionen Firefox 68 und Firefox ESR 60.8. Vom Tor Browser ist die gehärtete Ausgabe 8.5.4 erschienen. Außer der Aktualisierung der ESR-Version haben die Entwickler auch noch OpenSSL und Torbutton aktualisiert, schreibt das Tor-Team in einem Blogbeitrag.

2019-07-11T23:59:11+02:00Juli 11th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Firefox 68 verhindert Ausbruch aus der Sandbox

Der neue Google-Browser Chrome 67

In der aktuellen Version 67 seines Webbrowsers schließt Google einige Sicherheitslücken, entfernt einen Sicherheitsmechanismus und fügt im Gegenzug auch einen neuen für weitere Nutzer hinzu. Das Sicherheitsfeature Site Isolation soll zwar In Chrome 67 immer noch nicht standardmäßig, aber doch schon für immer mehr Nutzer aktiviert sein. Den Standard HTTPS Public Key Pinning (HPKP) hat Google jetzt wieder aus Chrome entfernt. In Version 67 haben die Entwickler immerhin 34 Sicherheitslücken geschlossen. Keine davon war aber als kritisch eingestuft und nur neun davon sind mit dem Bedrohungsgrad "hoch" eingestuft. Die Sandbox-Erweiterung Mit der Site Isolation sollen Webseiten effektiv voneinander abgeschottet werden, weil die Seiten jeweils als eigene Prozesse laufen. Dieser Schutz ergänzt die Sandboxen, in denen Chrome die Webseiten öffnet. Durch Site Isolation soll es Angreifern noch schwerer gemacht werden, über eine manipulierte Internetseite Informationen von anderen Seiten abzugreifen. Dieser Ansatz soll vor allem vor den gefürchteten Seitenkanal-Angriffe wie beispielsweise den CPU-Lücken Meltdown und Spectre sowie UXSS-Attacken schützen. Mit der neuen Browserversion Chrome 67 soll das Feature jetzt für noch mehr Nutzer aktiv sein. Wer die Funktion noch nicht hat und sie aktivieren möchte, gibt in die URL-Zeile chrome://flags ein. Danach sucht man dann nach "Strict site isolation" und aktiviert diesen Eintrag. Wenn Chrome dann neu gestartet wurde, ist das neue Sicherheitsfeature aktiv. [...]

2018-05-31T00:26:45+02:00Mai 31st, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Der neue Google-Browser Chrome 67

Tor-Browser verrät die IP-Adresse

Ende Oktober fiel Filippo Cavallarin vom Sicherheitsunternehmen We Are Segment eine Sicherheitslücke im Tor-Browser unter Linux und MacOS auf. Diese TorMoil genannte Schwachstelle öffnet Links, die mit „file://“ beginnen, am Tor-Browser vorbei. Dummerweise kann bei diesem Versuch die echte IP-Adresse des Nutzers mit übertragen werden – damit wird die vom Tor-Browser versprochene Anonymität dann ausgehebelt. Es betrifft nur die Betriebssysteme MacOS und Linux Nach den Erläuterungen der Sicherheitsexperten von We Are Segment steckt die Schwachstelle im Umgang des Browsers Firefox, der die Basis für den Tor-Browser bildet, mit Links. Windows-, Tail- und Sandbox-Nutzer sind von dem Problem nicht betroffen. Noch vor dem letzten Wochenende haben die Tor-Entwickler einen Hotfix für den Tor-Browser erarbeitet. Der aktuelle Tor-Browser für Mac und Linux steht auf torproject.org in der Version 7.0.9 zum Download bereit. Wer den Tor-Browser für Linux oder MacOS oder Tor-Software aus dem Alpha-Zweig der Entwicklung nutzt, sollte die neue Version so schnell wie möglich installieren. Heute soll noch eine überarbeitete Alpha-Version für Linux und MacOS online gestellt werden. File-Links können dann nicht mehr angeklickt werden Achtung: Der Hotfix in der neuen Browser-Version schließt zwar die Sicherheitslücke, bringt jedoch eine Einschränkung mit. Das Klicken auf „file://“-Links funktioniert damit nicht mehr. Nutzer können solche Links aber einfach in die Adressleiste ziehen, um dieses [...]

2017-11-07T07:11:12+02:00November 7th, 2017|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Tor-Browser verrät die IP-Adresse

Verbesserter Malware-Schutz in Googles Chrome

Die Windows-Version seines Browsers Chrome 62 hat Google jetzt um drei neue Funktionen erweitert. Alle drei sollen die Erkennung und Entfernung von Schadsoftware verbessern. Insbesondere will der Browserhersteller verhindern, dass Malware und gefährliche Erweiterungen Suchergebnisse verändern oder Nutzer unfreiwillig in die Arme schädlicher Websites weiterleiten. Dabei erhält Google Unterstützung von dem slowakischen Sicherheitsanbieter Eset. Google nicht verhindern, dass gefährliche Erweiterungen installiert werden, Deshalb kann Chrome jetzt aktiv werden, wenn eine Erweiterung Einstellungen des Browsers wie zum Beispiel die voreingestellte Suchmaschine ändert. In solchen Fällen weist Chrome auf die Änderung hin und bietet dann an, die ursprüngliche Einstellung wiederherzustellen. Außerdem wurde die Funktion zum Zurücksetzen des Browsers auf die Werkseinstellungen (z.B. nach einer Malware-Infektion) neu gestaltet. Sie zeigt jetzt eine Warnung an, wenn Chrome eine unerwünschte Software entdeckt, und bietet auch Unterstützung bei deren Entfernung an. Bis jetzt gab es für diesen Zweck nur das separate Chrome Cleanup Tool. Auch die Warnmeldungen wurden neu gestaltet, um besser erkennen zu können, welche Software da entfernt wird. Die dritte Neuerung bei Chrome 62 ist eine Malware Detection Engine, die nun als fester Bestandteil zu Chrome Cleanup gehört. Die stammt von Eset und arbeitet mit der Sandbox von Chrome zusammen. Damit ist Chrome jetzt in der Lage, deutlich mehr unerwünschte Software vom den Rechnern [...]

2017-10-18T19:28:05+02:00Oktober 18th, 2017|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Verbesserter Malware-Schutz in Googles Chrome

Das Ende der Browser-Plugins naht

Deutliche Verbesserungen bei JavaScript und CSS haben die klassischen Plug-ins inzwischen zu überflüssigen Relikten gemacht. Weil es mit NPAPI kaum möglich ist, Plug-ins einigermaßen sicher in der Sandbox auszuführen oder wie bei modernen Browsern direkt Grafikprozessoren anzusprechen, um Performance-Reserven aus der Hardware herauszuholen, aber auch wegen häufiger Abstürze wird NPAPI in Chrome in Zukunft nicht mehr unterstützt. Der Rückzug läuft etappenweise:Zurzeit führt Chrome solche Plugins (außer Java) noch per Default aus. Ab Januar laufen sie aber nur noch nach Aktivierung durch den Benutzer, und ab April 2015 auch dann nicht mehr, nur das Flag enable-npapi kann sie nach April ausnahmsweise nochmal aktivieren – bis auch das im September nächsten Jahres nicht mehr geht. Bei Mozillas Firefox sind die NPAPI-Plugins schon seit Version 30 defaultmäßig deaktiviert. Einige veraltete Plugins (z.B. Java, Quicktime und Flash) stehen dort schon auf einer Sperrliste. Der Internet Explorer von Microsoft unterstützt die NPAPI-Plug-Ins aus Sicherheitsgründen schon seit mehr als 10 Jahren nicht mehr.

2014-11-25T19:49:10+02:00November 25th, 2014|CSS, HTML, Javascript|1 Kommentar

Symfony 2 PR 3 in der Sandbox

Die Version 2.0 des beliebten Frameworks steht vor der Tür. Viele interessante Neuerungen der kommenden Version kann man schon erkennen. Wer Symfony einmal zur Probe installieren möchte, sollte die Sandbox-Version zum Testen vom Symfony-Server unter http://symfony-reloaded.org/code herunterladen. Aktuell ist das Preview Release PR 3. Man entpackt das PR 3 in das Rootverzeichnis seines Webservers, wodurch das Verzeichnis /sandbox angelegt wird. Dann wird die URL sandbox/web/check.php aufgerufen und das damit gestartete Test-Script überprüft alle für den Betrieb von Symfony 2 nötigen Einstellungen des Webservers. Wenn das Testprogramm rote Einträge auswirft, sollten die dazugehörigen Empfehlungen nachvollzogen werden, damit auch alle Funktionen von Symfony 2 in der Sandbox-Installation funktionieren. Wenn alles grün ist, können Sie jetzt die neue Version von Symfony in der Sandbox auf Ihrem Webserver testen.

2010-09-23T08:59:21+02:00September 23rd, 2010|Allgemein|Kommentare deaktiviert für Symfony 2 PR 3 in der Sandbox
Nach oben