firefox-logo-schwarz
Mozilla und Google haben neue Versionen ihrer Browser Firefox beziehungsweise Chrome veröffentlicht, die eine kritische Schwachstelle in der Crypto-Bibliothek Network Security Services (NSS) beseitigen. Sie ermöglicht es Angreifern, gefälschte Webseiten als echt auszugeben. Auf diese Weise könnten sie beispielsweise versuchen, Bankdaten oder Anmeldeinformationen abzugreifen.
Entdeckt – und jetzt auch öffentlich gemacht – hat die als „Berserk“ bezeichnete Sicherheitslücke das Team von Intel Security Advanced Threat Research. Zuvor hatte es Mozilla und Google über seinen Fund informiert.
Normalerweise sollen SSL-Authentifizierung und Verschlüsselung verhindern, das sich manipulierte Webseiten als das Original ausgeben können. Die jetzt geschlossene Lücke erlaubt es Angreifern aber, RSA-Signaturen für SSL-Verbindungen zu fälschen. Bei „Berserk“ handelt es sich um eine weitere Variante der 2006 erstmals aufgetretenen „Bleichenbacher PKCS#1 RSA-Signature-Schwachstelle“. Deren frühere Vertreter hat Ulrich Kühn von der Bochumer Sirrix AG bereits ausführlich beschrieben (PDF).
Unter Ausnutzung der Schwachstelle lässt sich die SSL-TLS-Authentifizierung von Websites umgehen. Laut Intel Security können Angreifer so Zertifikate für jede Domain fälschen. „Berserk“ stelle daher eine ernste Gefahr dar und unterminiere die Grundlagen, auf denen Webseiten als seriös und vertrauenswürdig eingeschätzt werden.
„Intel ist derzeit kein Angriff bekannt, der Berserk nutzt, doch raten wir privaten Firefox-Nutzern wie auch Unternehmen, sofort aktiv zu werden und ihre Browser mit dem neuesten Sicherheits-Update von Mozilla zu aktualisieren“, erklärt James Walter, Leiter des Advanced-Threat-Research Teams bei Intel Security.
Gleiches gilt für Nutzer von Mozillas E-Mail-Client Thunderbird und Internet-Suite SeaMonkey, für die ebenfalls Updates verfügbar sind. Auch Google hat die Lücke in Chrome und Chrome OS bereits geschlossen. Apples Safari ist offenbar nicht betroffen, weil es mit Secure Transport eine andere Verschlüsselungsbibliothek verwendet.
Firefox 32.0.3, Thunderbird 31.1.2 und SeaMonkey 2.29.1 stehen zum kostenlosen Download bereit. Die jüngste Chrome-Version für Windows und Mac trägt die Nummer 37.0.2062.124. Chrome OS liegt jetzt in Version 37.0.2062.120 vor.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
