Mozilla und Google schließen kritische Lücke in ihren Browsern

Mozilla und Google haben neue Versionen ihrer Browser Firefox beziehungsweise Chrome veröffentlicht, die eine kritische Schwachstelle in der Crypto-Bibliothek Network Security Services (NSS) beseitigen. Sie ermöglicht es Angreifern, gefälschte Webseiten als echt auszugeben. Auf diese Weise könnten sie beispielsweise versuchen, Bankdaten oder Anmeldeinformationen abzugreifen.

Entdeckt – und jetzt auch öffentlich gemacht – hat die als „Berserk“ bezeichnete Sicherheitslücke das Team von Intel Security Advanced Threat Research. Zuvor hatte es Mozilla und Google über seinen Fund informiert.

Normalerweise sollen SSL-Authentifizierung und Verschlüsselung verhindern, das sich manipulierte Webseiten als das Original ausgeben können. Die jetzt geschlossene Lücke erlaubt es Angreifern aber, RSA-Signaturen für SSL-Verbindungen zu fälschen. Bei „Berserk“ handelt es sich um eine weitere Variante der 2006 erstmals aufgetretenen „Bleichenbacher PKCS#1 RSA-Signature-Schwachstelle“. Deren frühere Vertreter hat Ulrich Kühn von der Bochumer Sirrix AG bereits ausführlich beschrieben (PDF).

Unter Ausnutzung der Schwachstelle lässt sich die SSL-TLS-Authentifizierung von Websites umgehen. Laut Intel Security können Angreifer so Zertifikate für jede Domain fälschen. „Berserk“ stelle daher eine ernste Gefahr dar und unterminiere die Grundlagen, auf denen Webseiten als seriös und vertrauenswürdig eingeschätzt werden.

„Intel ist derzeit kein Angriff bekannt, der Berserk nutzt, doch raten wir privaten Firefox-Nutzern wie auch Unternehmen, sofort aktiv zu werden und ihre Browser mit dem neuesten Sicherheits-Update von Mozilla zu aktualisieren“, erklärt James Walter, Leiter des Advanced-Threat-Research Teams bei Intel Security.

Gleiches gilt für Nutzer von Mozillas E-Mail-Client Thunderbird und Internet-Suite SeaMonkey, für die ebenfalls Updates verfügbar sind. Auch Google hat die Lücke in Chrome und Chrome OS bereits geschlossen. Apples Safari ist offenbar nicht betroffen, weil es mit Secure Transport eine andere Verschlüsselungsbibliothek verwendet.

Firefox 32.0.3, Thunderbird 31.1.2 und SeaMonkey 2.29.1 stehen zum kostenlosen Download bereit. Die jüngste Chrome-Version für Windows und Mac trägt die Nummer 37.0.2062.124. Chrome OS liegt jetzt in Version 37.0.2062.120 vor.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago