Mozilla beseitigt kritische Sicherheitslücke in Firefox

BrowserWorkspace
Firefox (Grafik: Mozilla)

Die Schwachstelle betrifft die Sicherheitsfunktion HTTP Alternative Services. Die Funktion steht seit Firefox 37 den Nutzer zur Verfügung. Mit Version 37.0.1 entfernt Mozilla sie wieder.

Mit Firefox 37.0.1 hat Mozilla zwei Sicherheitslücken des Browsers geschlossen. Die Fehler befinden sich in der Sicherheitsfunktion HTTP Alternative Services (HTTP/2 Alt-Svc). Diese ist erst seit vergangener Woche Bestandteil des Browsers. Nun hat Mozilla sie wieder deaktiviert.

Mit HTTP/2 Alt-Svc sei eine opportunistische Verschlüsselung von HTTP-Ressourcen per Transport Layer Security (TLS) möglich, erklärt Mozilla in einem Blog. Allerdings erfolge die Verschlüsselung der Daten, die sonst im Klartext übertragen würden, ohne Authentifizierung. Das Verfahren bietet den Entwicklern zufolge insbesondere bei passiven Abhörmaßnahmen einen zusätzlichen Schutz.

Den Fehler in Firefox 37 können Angreifer verwenden, um die Überprüfung des SSL-Zertifikats des spezifizierten Servers zu umgehen, wenn Alt-Svc in der HTTP/2-Antwort enthalten ist. Der Browser gibt anschließend keine Warnungen für ungültige SSL-Zertifikate aus. Kriminelle können auf diese Weise ein echtes Zertifikat im Rahmen eines Man-in-the-Middle-Angriffs durch ein eigenes ersetzen. Der Sicherheitsforscher Muneaki Nishimura hat die Sicherheitslücke entdeckt.

Mehr Stabilität für Firefox

Das Risiko der zweiten Schwachstelle bewertet Mozilla mit “hoch”. Sie steckt im Lesemodus des Browsers, der bislang nur in Firefox für Android sowie Preview-Versionen von Firefox für Windows, Linux und Mac OS X enthalten ist.

Mozilla schließt mit Firefox 37.0.1 zwei Sicherheitslücken. (Bild: Mozilla)
Mozilla schließt mit Firefox 37.0.1 zwei Sicherheitslücken. (Bild: Mozilla)

Das Update verbessert außerdem die Stabilität von Firefox. Den Versionshinweisen zufolge kann eine bestimmte Kombination aus Grafik-Hardware und Software von Drittanbietern einen Absturz beim Start von Firefox 37 auslösen.

Google schließt Schwachstellen in Chrome

Bereits in der vergangenen Woche hat Google ein Sicherheitsupdate für Chrome veröffentlicht. Insgesamt schließt es vier Sicherheitslücken. Davon stuft der Konzern eine als kritisch ein. Sie ermöglicht das Ausführen von Schadcode außerhalb der Sandbox des Browsers. Ein nicht näher genannter Sicherheitsforscher kombinierte demnach Lücken in der JavaScript-Engine V8 und den Komponenten Gamepad und IPC.

Für die Details der Schwachstelle zahlte Google ihm eine Belohnung von 29.633,70 Dollar. Chrome 41.0.2272.118 für Windows, Mac OS X und Linux enthält aber auch einen Fix für eine Lücke, die der Forscher JungHoon Lee Ende März während des Hackerwettbewerbs Pwn2Own vorgeführt hatte.

Download:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de