Categories: BrowserWorkspace

Firefox: Mozilla behebt kritische Sicherheitslücke

Mozilla hat zwei Sicherheitslücken in Firefox 37 geschlossen. Davon stuft das Unternehmen eine als kritisch ein. Betroffen ist die Sicherheitsfunktion HTTP Alternative Services (HTTP/2 Alt-Svc). Diese hatte der Anbieter erst in der vergangenen Woche eingeführt. Die Aktualisierung auf Version 37.0.1 deaktiviert sie wieder.

Mit HTTP/2 Alt-Svc sei eine opportunistische Verschlüsselung von HTTP-Ressourcen per Transport Layer Security (TLS) möglich, erklärt Mozilla in einem Blog. Die Verschlüsselung der Daten, die sonst im Klartext übertragen würden, erfolge jedoch ohne Authentifizierung. Den Entwicklern zufolge biete das Verfahren insbesondere bei passiven Abhörmaßnahmen einen zusätzlichen Schutz.

Angreifer können den Fehler in Firefox 37 ausnutzen, um die Überprüfung des SSL-Zertifikats des spezifizierten Servers zu umgehen, wenn Alt-Svc in der HTTP/2-Antwort enthalten ist. Somit lässt sich ein echtes Zertifikat im Rahmen eines Man-in-the-Middle-Angriffs durch ein eigenes ersetzen. Der Sicherheitsforscher Muneaki Nishimura hat die Sicherheitslücke entdeckt.

Mehr Stabilität für Firefox

Das Risiko der zweiten Schwachstelle bewertet Mozilla mit “hoch”. Sie steckt im Lesemodus des Browsers, der bislang nur in Firefox für Android sowie Preview-Versionen von Firefox für Windows, Linux und Mac OS X enthalten ist.

Mozilla schließt mit Firefox 37.0.1 zwei Sicherheitslücken. (Bild: Mozilla)

Das Update verbessert außerdem die Stabilität von Firefox. Den Versionshinweisen zufolge kann eine bestimmte Kombination aus Grafik-Hardware und Software von Drittanbietern einen Absturz beim Start von Firefox 37 auslösen.

Google schließt Schwachstellen in Chrome

Bereits in der vergangenen Woche hat Google ein Sicherheitsupdate für Chrome veröffentlicht. Insgesamt schließt es vier Sicherheitslücken. Davon stuft der Konzern eine als kritisch ein. Sie ermöglicht das Ausführen von Schadcode außerhalb der Sandbox des Browsers. Ein nicht näher genannter Sicherheitsforscher kombinierte demnach Lücken in der JavaScript-Engine V8 und den Komponenten Gamepad und IPC.

Für die Details der Schwachstelle zahlte Google ihm eine Belohnung von 29.633,70 Dollar. Chrome 41.0.2272.118 für Windows, Mac OS X und Linux enthält aber auch einen Fix für eine Lücke, die der Forscher JungHoon Lee Ende März während des Hackerwettbewerbs Pwn2Own vorgeführt hatte.

Download:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago