Software::Distributionen::Tails
Sicherheitsupdate: Tails 3.14.1 schließt kritische Lücke in Firefox und Tor Browser
Tails 3.14.1 schließt eine kritische Sicherheitslücke, die Mozilla mit Firefox 67.0.3 behoben hatte. Eine zweite Lücke im Sandboxing-Code der Browser bleibt derzeit offen.
tails.boum.org
Die Sicherheitsabteilung bei Mozilla hatte eine hektische Woche. Gleich zwei ungeplante Updates zunächst auf Firefox 67.0.3 und nun auf 67.0.4 wurden veröffentlicht. Als Folge hat »The Amnesic Incognito Live System«, kurz Tails, regiert und eine Aktualisierung der Distribution auf
Tails 3.14.1 herausgegeben. Damit wird eine die kritische Zero-Day-Lücke im Tor Browser geschlossen, die Mozilla mit
Firefox 67.0.3 behoben hatte. Die Lücke, die als
CVE-2019-11707 katalogisiert ist, wurde bereits aktiv gegen Mitarbeiter verschiedener Kryptowährungs-Projekte
ausgenutzt.
Anwender, die im Tor Browser die Sicherheitsebenen »Safer« und »Safest« nutzen, sind von der Lücke nicht betroffen, da die JavaScript-Funktion »just-in-time-compilation«, die zum Ausnutzen der Lücke benötigt wird, auf diesen Ebenen ausgeschaltet ist. Zudem sei die Lücke laut den Entwicklern bei Tails durch die Verwendung von AppArmor nicht so gravierend wie bei anderen Distributionen ohne diese Rechtebeschränkung.
Auf die zweite Lücke, die Mozilla aktuell mit Firefox 67.0.4 adressierte, haben die Entwickler von Tails noch nicht reagiert, stellen aber ein weiteres Update in Aussicht. Diese Sicherheitslücke wurde im Sandboxing-Mechanismus von Firefox und Tor Browser entdeckt und ermöglicht es einer bösartigen Webseite, einige der in Firefox eingebauten Einschränkungen zu umgehen, was bedeutet, dass sie möglicherweise den Inhalt anderer offener Tabs ausspioniert und die Passwörter anderer Webseiten stehlen könnte. Nachdem der Tor-Browser durch diese Lücke kompromittiert wurde, ist die einzige zuverlässige Lösung, Tails neu zu starten. Wiederum schützt AppArmor Tails-Nutzer vor einer Erweiterung des Angriffs auf andere Anwendungen und Daten außerhalb von Tor Browser.
Mit der Aktualisierung auf Tails 3.14.1 sind Tor Browser auf 8.5.2, Tor auf 0.4.0.5 sowie Thunderbird auf 60.7 aktualisiert worden. Automatische Upgrades von Tails sind von 3.13, 3.13.1, 3.13.2 und 3.14 möglich. Ältere Versionen müssen manuell aktualisiert werden. Falls es keine weitere Sicherheitsaktualisierung für 3.14 gibt, soll Tails 3.15 am 9. Juli erscheinen.
){kind=logo}
