Dass sich Mozilla mit einer bereits ausgenutzten Zero-Day-Lücke im Firefox-Browser konfrontiert sah, hat auch für angrenzende Projekte Folgen. Das auf Privatsphäre und Datenschutz getrimmte Live-System Tails hat nun ebenfalls ein Update auf 3.14.1 veröffentlicht, das diese Lücke im Tor-Browser schließt.
Mozilla hat die unter CVE-2019-11707 geführte Lücke mit der Version 67.0.3 behoben. Das Tails-Projekt patcht nun ebenfalls den Browser, der auf Firefox aufbaut. Die Entwickler lassen wissen, dass Anwender, die die safer und safest Option des Tor-Browsers gewählt haben, von der Lücke nicht betroffen sind. In diesem Modus sei das für die Lücke nötige JavaScript-Feature nicht aktiviert, heißt es in der Ankündigung. Die Tails-Macher teilen ebenfalls mit, dass über die Lücke bereits einige Mitarbeiter der Kryptowährungsbörse Coinbase angegriffen worden seien. Tor sei insgesamt weniger für die Lücke anfällig, weil AppArmor als weiteres Schutzschild diene
Eine weitere Lücke, die Mozilla mit Firefox 67.0.4 behebt, bleibt in Tor weiter ungepatcht. AppArmor mildere auch hier die Gefahr ab, heißt es in der Mitteilung. Die im Sandboxing-Mous von Firefox und Tor entdeckte Lücke ermögliche das Umgehen von Schutzmechanismen und damit eventuell das Ausspähen von Daten. AppArmor verhindere dabei, dass der Angreifer auf Daten außerhalb des Browsers zugreifen könne.
