Mozilla fordert von FBI Offenlegung von Firefox-Sicherheitslücke

Es geht um eine Schwachstelle in dem auf Firefox basierenden Tor-Browser. Mozilla vermutet, dass die Anfälligkeit im Firefox-Code steckt. Es will nun per Gerichtsbeschluss die Details erfahren, bevor die Regierung sie an Dritte weitergibt.

Mozilla hat die US-Regierung aufgefordert, Details zu einer Sicherheitslücke herauszugeben, die das FBI offenbar benutzt hat, um einen Online-Verbrecher zu fassen. Konkret geht es dem Unternehmen darum, alle Informationen über die Schwachstelle zu erhalten, bevor diese gegenüber Dritten offengelegt wird.

Firefox (Bild: Mozilla)Im vergangenen Jahr hatte das FBI eine bisher unbekannte Zero-Day-Lücke im Tor-Browser – der wiederum auf Firefox basiert – benutzt, um Nutzer einer kinderpornografischen Website zu enttarnen. Zuletzt betrieben die Ermittler die Server der Website, was es ihnen ermöglichte, Ermittlungen gegen weitere Besucher einzuleiten.

„Wir ergreifen keine Partei in dem Fall, aber wir stehen auf der Seite von Hunderten Millionen Nutzern, die von einer zeitnahen Offenlegung profitieren könnten“, schreibt Denelle Dixon-Thayer, Chief Legal and Business Officer bei Mozilla, in einem Blogeintrag. „Anfälligkeiten können die Sicherheit schwächen und schließlich Nutzern schaden.“ Nur die Offenlegung der Schwachstelle erlaube es, Schaden von Nutzern abzuwenden.

Dem am Mittwoch beim zuständigen US-Gericht eingereichten Schriftsatz zufolge ist allerdings nicht klar, ob die Schwachstelle, die das FBI im Tor-Browser gefunden hat, überhaupt den Mozilla-Code betrifft. „Der Tor-Browser basiert auf unserem Firefox-Browser-Code. Einige spekulieren, die Anfälligkeit könnte in dem Teil des Firefox-Browser-Code stecken, die der Tor-Browser nutzt. Derzeit weiß niemand – uns eingeschlossen – außerhalb der Regierung, welche Anfälligkeit ausgenutzt wurde und ob sie in unserer Codebasis ist.“ In den falschen Händen könne die Schwachstelle jedoch zu „Millionen von Ransomware-Infektionen führen“.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Rechtsgrundlage für Mozillas Forderung ist der sogenannte Vulnerabilities Equities Process. Im Rahmen dieses Verfahrens prüft die US-Regierung, ob ihr bekannt gewordene Sicherheitslücken für nachrichtendienstliche Zwecke benutzt oder vertraulich gegenüber den Herstellern der betroffenen Produkte offengelegt werden sollten. Im Fall des iPhone 5C des San-Bernardino-Attentäters Syed Farook hatte das FBI entschieden, das ihr bekannt gewordene Verfahren zur Entsperrung des Geräts ohne Passwort geheim zu halten.

Apple entschloss sich jedoch, keine rechtlichen Schritte gegen die US-Regierung einzuleiten, um an die Details der Sicherheitslücke zu kommen. Nach Auskunft des FBI ist sie nur geeignet, um ältere iOS-Geräte zu knacken. Auf neuere Modelle wie iPhone 5S oder iPhone 6 kann das Verfahren nicht angewendet werden. Ob es vom FBI oder anderen Behörden inzwischen benutzt wurde, um weitere Geräte zu entsperren, ist nicht bekannt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Federal Bureau of Investigation (FBI), Firefox, Mozilla, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Mozilla fordert von FBI Offenlegung von Firefox-Sicherheitslücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *