Categories: BrowserWorkspace

Mozilla fordert von FBI Offenlegung von Firefox-Sicherheitslücke

Mozilla hat die US-Regierung aufgefordert, Details zu einer Sicherheitslücke herauszugeben, die das FBI offenbar benutzt hat, um einen Online-Verbrecher zu fassen. Konkret geht es dem Unternehmen darum, alle Informationen über die Schwachstelle zu erhalten, bevor diese gegenüber Dritten offengelegt wird.

Im vergangenen Jahr hatte das FBI eine bisher unbekannte Zero-Day-Lücke im Tor-Browser – der wiederum auf Firefox basiert – benutzt, um Nutzer einer kinderpornografischen Website zu enttarnen. Zuletzt betrieben die Ermittler die Server der Website, was es ihnen ermöglichte, Ermittlungen gegen weitere Besucher einzuleiten.

„Wir ergreifen keine Partei in dem Fall, aber wir stehen auf der Seite von Hunderten Millionen Nutzern, die von einer zeitnahen Offenlegung profitieren könnten“, schreibt Denelle Dixon-Thayer, Chief Legal and Business Officer bei Mozilla, in einem Blogeintrag. „Anfälligkeiten können die Sicherheit schwächen und schließlich Nutzern schaden.“ Nur die Offenlegung der Schwachstelle erlaube es, Schaden von Nutzern abzuwenden.

Dem am Mittwoch beim zuständigen US-Gericht eingereichten Schriftsatz zufolge ist allerdings nicht klar, ob die Schwachstelle, die das FBI im Tor-Browser gefunden hat, überhaupt den Mozilla-Code betrifft. „Der Tor-Browser basiert auf unserem Firefox-Browser-Code. Einige spekulieren, die Anfälligkeit könnte in dem Teil des Firefox-Browser-Code stecken, die der Tor-Browser nutzt. Derzeit weiß niemand – uns eingeschlossen – außerhalb der Regierung, welche Anfälligkeit ausgenutzt wurde und ob sie in unserer Codebasis ist.“ In den falschen Händen könne die Schwachstelle jedoch zu „Millionen von Ransomware-Infektionen führen“.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Rechtsgrundlage für Mozillas Forderung ist der sogenannte Vulnerabilities Equities Process. Im Rahmen dieses Verfahrens prüft die US-Regierung, ob ihr bekannt gewordene Sicherheitslücken für nachrichtendienstliche Zwecke benutzt oder vertraulich gegenüber den Herstellern der betroffenen Produkte offengelegt werden sollten. Im Fall des iPhone 5C des San-Bernardino-Attentäters Syed Farook hatte das FBI entschieden, das ihr bekannt gewordene Verfahren zur Entsperrung des Geräts ohne Passwort geheim zu halten.

Apple entschloss sich jedoch, keine rechtlichen Schritte gegen die US-Regierung einzuleiten, um an die Details der Sicherheitslücke zu kommen. Nach Auskunft des FBI ist sie nur geeignet, um ältere iOS-Geräte zu knacken. Auf neuere Modelle wie iPhone 5S oder iPhone 6 kann das Verfahren nicht angewendet werden. Ob es vom FBI oder anderen Behörden inzwischen benutzt wurde, um weitere Geräte zu entsperren, ist nicht bekannt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago