Mozilla und Google haben neue Versionen ihrer Browser Firefox beziehungsweise Chrome veröffentlicht, die eine kritische Schwachstelle in der Crypto-Bibliothek Network Security Services (NSS) beseitigen. Sie ermöglicht es Angreifern, gefälschte Webseiten als echt auszugeben. Auf diese Weise könnten sie beispielsweise versuchen, Bankdaten oder Anmeldeinformationen abzugreifen.
Entdeckt – und jetzt auch öffentlich gemacht – hat die als „Berserk“ bezeichnete Sicherheitslücke das Team von Intel Security Advanced Threat Research. Zuvor hatte es Mozilla und Google über seinen Fund informiert.
Normalerweise sollen SSL-Authentifizierung und Verschlüsselung verhindern, das sich manipulierte Webseiten als das Original ausgeben können. Die jetzt geschlossene Lücke erlaubt es Angreifern aber, RSA-Signaturen für SSL-Verbindungen zu fälschen. Bei „Berserk“ handelt es sich um eine weitere Variante der 2006 erstmals aufgetretenen „Bleichenbacher PKCS#1 RSA-Signature-Schwachstelle“. Deren frühere Vertreter hat Ulrich Kühn von der Bochumer Sirrix AG bereits ausführlich beschrieben (PDF).
Unter Ausnutzung der Schwachstelle lässt sich die SSL-TLS-Authentifizierung von Websites umgehen. Laut Intel Security können Angreifer so Zertifikate für jede Domain fälschen. „Berserk“ stelle daher eine ernste Gefahr dar und unterminiere die Grundlagen, auf denen Webseiten als seriös und vertrauenswürdig eingeschätzt werden.
„Intel ist derzeit kein Angriff bekannt, der Berserk nutzt, doch raten wir privaten Firefox-Nutzern wie auch Unternehmen, sofort aktiv zu werden und ihre Browser mit dem neuesten Sicherheits-Update von Mozilla zu aktualisieren“, erklärt James Walter, Leiter des Advanced-Threat-Research Teams bei Intel Security.
Gleiches gilt für Nutzer von Mozillas E-Mail-Client Thunderbird und Internet-Suite SeaMonkey, für die ebenfalls Updates verfügbar sind. Auch Google hat die Lücke in Chrome und Chrome OS bereits geschlossen. Apples Safari ist offenbar nicht betroffen, weil es mit Secure Transport eine andere Verschlüsselungsbibliothek verwendet.
Firefox 32.0.3, Thunderbird 31.1.2 und SeaMonkey 2.29.1 stehen zum kostenlosen Download bereit. Die jüngste Chrome-Version für Windows und Mac trägt die Nummer 37.0.2062.124. Chrome OS liegt jetzt in Version 37.0.2062.120 vor.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…