Eine kritische Sicherheitslücke wurde in der JavaScript-Engine von Firefox und Tor Browser entdeckt.

Bis Tails 4.13 (17. November) empfehlen wir allen Benutzern, die Sicherheitsstufe von Tor Browser auf Safer oder Safest zu setzen.

Diese Sicherheitslücke wurde während des Tianfu Cup 2020 International Cybersecurity Contest entdeckt. Die Einzelheiten der Sicherheitslücke wurden nicht bekannt gegeben.

Uns ist kein Einsatz dieser Sicherheitslücke gegen tatsächliche Nutzer bekannt.

Die Sicherheitsstufen Safer oder Safest des Tor Browsers sind nicht betroffen, da die betroffene JavaScript-Funktion, die Just-in-time-Kompilierung, auf diesen Sicherheitsstufen deaktiviert ist.

Mozilla hat diese Sicherheitsanfälligkeit in Firefox 78.4.1 behoben, und Tor hat diese Sicherheitsanfälligkeit in Tor Browser 10.0.4 behoben.

Wir haben beschlossen, kein Notfall-Upgrade von Tails zu veröffentlichen, weil:

  • Tails 4.13 ist bereits für den 17. November geplant und wird diese Sicherheitsanfälligkeit beheben.
  • Unser Hauptveröffentlichungsmanager hat das Team kürzlich verlassen, und wir haben derzeit sehr begrenzte personelle Ressourcen.
  • Die Einzelheiten der Sicherheitsanfälligkeit wurden nicht offengelegt, was es schwieriger macht, sie auszunutzen, und uns sind keine Fälle bekannt, in denen diese Sicherheitsanfälligkeit gegen tatsächliche Benutzer eingesetzt wurde.