Firefox Mozilla: Update schließt zwei Schwachstellen

Eine als kritisch eingestufte Sicherheitslücke verbirgt sich in der Sicherheitsfunktion HTTP Alternative Services. Das mit Firefox 37 eingeführte Feature wurde jetzt mit Version 37.0.1 wieder deaktiviert. Die zweite Schwachstelle mit hohem Risiko steckt im Lesemodus des Browsers.

Das Sicherheitsupdate für Firefox 37, das Mozilla jetzt veröffentlicht hat, schließt zwei Sicherheitslücken. Eine davon steckt in der Implementierung der Sicherheitsfunktion HTTP Alternative Services (HTTP/2 Alt-Svc), die Mozilla erst mit Firefox 37 in der vergangenen Woche eingeführt hatte und nun mit dem Update auf die Version 37.0.1 wieder entfernt wurde. Sie wird als kritisch eingestuft.

Firefox-Logo (Bild: Mozilla)

Wie Mozilla in einem Blogeintrag ausführt, erlaubt HTTP/2 Alt-Svc eine opportunistische Verschlüsselung von HTTP-Ressourcen per Transport Layer Security (TLS). Die Daten, die sonst im Klartext übertragen würden, werden allerdings ohne Authentifizierung verschlüsselt. Das Verfahren bietet laut Mozilla vor allem bei passiven Abhörmaßnahmen einen zusätzlichen Schutz.

Durch den Fehler in Firefox 37 ist es möglich, die Überprüfung des SSL-Zertifikats des spezifizierten Servers zu umgehen, wenn Alt-Svc in der HTTP/2-Antwort enthalten ist. Als Folge werden keine Warnungen für ungültige SSL-Zertifikate ausgegeben. Ein Angreifer kann so im Rahmen eines Man-in-the-Middle-Angriffs ein echtes Zertifikat durch ein eigenes ersetzen. Entdeckt wurde die Schwachstelle durch den Sicherheitsforscher Muneaki Nishimura.

Die zweite Anfälligkeit steckt im Lesemodus des Browsers, der bisher allerdings nur in Firefox für Android sowie Preview-Versionen von Firefox für Windows, Linux und Mac OS X enthalten ist. Von ihr geht ein hohes Risiko aus.

Mozilla hat darüber hinaus die Stabilität des Browsers verbessert. Den Versionshinweisen zufolge kann eine bestimmte Kombination aus Grafik-Hardware und Software von Drittanbietern einen Absturz beim Start von Firefox 37 auslösen.

Auch Google hatte in der vergangenen Woche vier Sicherheitslöcher in seinem Browser Chrome gestopft. Darunter ist eine kritische Anfälligkeit, die es erlaubt, Schadcode außerhalb der Sandbox des Browsers auszuführen. Ein nicht näher genannter Sicherheitsforscher kombinierte demnach Lücken in der JavaScript-Engine V8 und den Komponenten Gamepad und IPC. Für die Details der Schwachstelle zahlte Google ihm eine Belohnung von 29.633,70 Dollar. Chrome 41.0.2272.118 für Windows, Mac OS X und Linux enthält aber auch einen Fix für eine Lücke, die der Forscher JungHoon Lee Ende März während des Hackerwettbewerbs Pwn2Own vorgeführt hatte.

Download:

Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Firefox Mozilla: Update schließt zwei Schwachstellen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *