Categories: BrowserWorkspace

Firefox: Mozilla schließt 2 Sicherheitslücken

Mozilla hat ein Sicherheitsupdate für Firefox 37 veröffentlicht. Es schließt zwei Sicherheitslücken, von denen eine als kritisch eingestuft ist. Sie steckt in der Implementierung der Sicherheitsfunktion HTTP Alternative Services (HTTP/2 Alt-Svc), die Mozilla erst mit Firefox 37 in der vergangenen Woche eingeführt hatte und nun mit dem Update auf die Version 37.0.1 wieder entfernt wurde.

HTTP/2 Alt-Svc erlaubt eine opportunistische Verschlüsselung von HTTP-Ressourcen per Transport Layer Security (TLS), wie Mozilla in einem Blogeintrag ausführt. Die Daten, die sonst im Klartext übertragen würden, werden allerdings ohne Authentifizierung verschlüsselt. Das Verfahren bietet laut Mozilla vor allem bei passiven Abhörmaßnahmen einen zusätzlichen Schutz.

Der Fehler in Firefox 37 erlaubt es, die Überprüfung des SSL-Zertifikats des spezifizierten Servers zu umgehen, wenn Alt-Svc in der HTTP/2-Antwort enthalten ist. Als Folge werden keine Warnungen für ungültige SSL-Zertifikate ausgegeben. Ein Angreifer kann so im Rahmen eines Man-in-the-Middle-Angriffs ein echtes Zertifikat durch ein eigenes ersetzen. Entdeckt wurde die Schwachstelle durch den Sicherheitsforscher Muneaki Nishimura.

Von der zweiten Anfälligkeit geht ein hohes Risiko aus. Sie steckt im Lesemodus des Browsers, der bisher allerdings nur in Firefox für Android sowie Preview-Versionen von Firefox für Windows, Linux und Mac OS X enthalten ist.

Darüber hinaus hat Mozilla die Stabilität des Browsers verbessert. Den Versionshinweisen zufolge kann eine bestimmte Kombination aus Grafik-Hardware und Software von Drittanbietern einen Absturz beim Start von Firefox 37 auslösen.

In der vergangenen Woche hatte auch Google vier Sicherheitslöcher in seinem Browser Chrome gestopft. Darunter ist eine kritische Anfälligkeit, die es erlaubt, Schadcode außerhalb der Sandbox des Browsers auszuführen. Ein nicht näher genannter Sicherheitsforscher kombinierte demnach Lücken in der JavaScript-Engine V8 und den Komponenten Gamepad und IPC. Für die Details der Schwachstelle zahlte Google ihm eine Belohnung von 29.633,70 Dollar. Chrome 41.0.2272.118 für Windows, Mac OS X und Linux enthält aber auch einen Fix für eine Lücke, die der Forscher JungHoon Lee Ende März während des Hackerwettbewerbs Pwn2Own vorgeführt hatte.

Download:

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Tag ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

5 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago