Categories: BrowserWorkspace

Mozilla fordert von FBI Offenlegung von Firefox-Sicherheitslücke

Mozilla hat die US-Regierung aufgefordert, Details zu einer Sicherheitslücke herauszugeben, die das FBI offenbar benutzt hat, um einen Online-Verbrecher zu fassen. Konkret geht es dem Unternehmen darum, alle Informationen über die Schwachstelle zu erhalten, bevor diese gegenüber Dritten offengelegt wird.

Im vergangenen Jahr hatte das FBI eine bisher unbekannte Zero-Day-Lücke im Tor-Browser – der wiederum auf Firefox basiert – benutzt, um Nutzer einer kinderpornografischen Website zu enttarnen. Zuletzt betrieben die Ermittler die Server der Website, was es ihnen ermöglichte, Ermittlungen gegen weitere Besucher einzuleiten.

„Wir ergreifen keine Partei in dem Fall, aber wir stehen auf der Seite von Hunderten Millionen Nutzern, die von einer zeitnahen Offenlegung profitieren könnten“, schreibt Denelle Dixon-Thayer, Chief Legal and Business Officer bei Mozilla, in einem Blogeintrag. „Anfälligkeiten können die Sicherheit schwächen und schließlich Nutzern schaden.“ Nur die Offenlegung der Schwachstelle erlaube es, Schaden von Nutzern abzuwenden.

Dem am Mittwoch beim zuständigen US-Gericht eingereichten Schriftsatz zufolge ist allerdings nicht klar, ob die Schwachstelle, die das FBI im Tor-Browser gefunden hat, überhaupt den Mozilla-Code betrifft. „Der Tor-Browser basiert auf unserem Firefox-Browser-Code. Einige spekulieren, die Anfälligkeit könnte in dem Teil des Firefox-Browser-Code stecken, die der Tor-Browser nutzt. Derzeit weiß niemand – uns eingeschlossen – außerhalb der Regierung, welche Anfälligkeit ausgenutzt wurde und ob sie in unserer Codebasis ist.“ In den falschen Händen könne die Schwachstelle jedoch zu „Millionen von Ransomware-Infektionen führen“.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Rechtsgrundlage für Mozillas Forderung ist der sogenannte Vulnerabilities Equities Process. Im Rahmen dieses Verfahrens prüft die US-Regierung, ob ihr bekannt gewordene Sicherheitslücken für nachrichtendienstliche Zwecke benutzt oder vertraulich gegenüber den Herstellern der betroffenen Produkte offengelegt werden sollten. Im Fall des iPhone 5C des San-Bernardino-Attentäters Syed Farook hatte das FBI entschieden, das ihr bekannt gewordene Verfahren zur Entsperrung des Geräts ohne Passwort geheim zu halten.

Apple entschloss sich jedoch, keine rechtlichen Schritte gegen die US-Regierung einzuleiten, um an die Details der Sicherheitslücke zu kommen. Nach Auskunft des FBI ist sie nur geeignet, um ältere iOS-Geräte zu knacken. Auf neuere Modelle wie iPhone 5S oder iPhone 6 kann das Verfahren nicht angewendet werden. Ob es vom FBI oder anderen Behörden inzwischen benutzt wurde, um weitere Geräte zu entsperren, ist nicht bekannt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago