Abo
  • Services:

Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken

Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Der Abschlussbericht dazu steht nun bereit. Das beauftragte Sicherheitsunternehmen bewertet den Update Service insgesamt als gut.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Mozilla lässt seine Software regelmäßig durch Audits überprüfen.
Mozilla lässt seine Software regelmäßig durch Audits überprüfen. (Bild: Mozilla)

Der Firefox Application Update Service (AUS) ist eine der wohl wichtigsten Supportkomponenten für Mozilla, immerhin werden darüber weltweit die Aktualisierungen für den Firefox-Browser ausgeliefert. Mozilla hat deshalb, wie bei dem Unternehmen üblich, den AUS einem Sicherheitsaudit unterziehen lassen und stellt nun die Ergebnisse bereit.

Stellenmarkt
  1. AKKA GmbH & Co. KGaA, München
  2. Daimler AG, Sindelfingen

Bei dem im März und April 2018 durchgeführten Audit sind einige Fehler aufgedeckt worden, darunter 14 Sicherheitslücken, die aber nicht als kritisch eingestuft wurden. Zudem seien 21 weitere Probleme gefunden worden, die jedoch keinen Sicherheitsbezug hätten, heißt es in dem Bericht (PDF).

Das Unternehmen X41 D-Sec war damit beauftragt, alle am Update-Prozess beteiligten Komponenten auf Sicherheitsprobleme zu überprüfen: angefangen bei den am Update beteiligten Komponenten des Browser-Clients über das Backend bis hin zur Management Webapplikation (Balrog). Neben den dafür durchgeführten Penetrationstests sei auch der Quellcode analysiert worden.

Lücken mit wenig Potenzial

Die einzige ernstzunehmende Lücke sei ein Cross-Site-Request-Forgery (CSRF) in der Balrog-Komponente gewesen. Einige weitere seien Speicherfehler gewesen oder auch die Möglichkeit für einen Denial-of-Service-Angriff. In den überwiegenden Fällen wäre es für einen erfolgreichen Angriff jedoch nötig gewesen, kryptographische Signaturen zu umgehen, was sehr schwierig ist und die eigentlichen Probleme deshalb insgesamt weniger gravierend mache. Dank mehrerer Schichten zur Authentifizierung sei das Risiko für einen Angriff damit eher gering, schreibt Mozilla. Trotzdem seien natürlich einige Verbesserungen vorgenommen worden.

Das Sicherheitsunternehmen sieht auch in den 21 Problemen, die quasi nebenbei gefunden wurden, eine gewisse Bedrohung für die Sicherheit des Firefox-Updates. Zwar sei keines dieser Probleme direkt sicherheitsrelevant, es könne aber nicht ausgeschlossen werden, dass dahinter nicht doch noch ein Angriffsvektor stecke. Auch diese sollten inzwischen behoben sein.



Anzeige
Spiele-Angebote
  1. 20,99€ - Release 07.11.
  2. 59,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)
  3. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  4. 15,49€

Minimee 12. Okt 2018 / Themenstart

Was mir bei Mozilla Update gefällt ist: ... das der Update Dienst nicht ständig im...

1e3ste4 12. Okt 2018 / Themenstart

Stimmt. Laut Überschrift gäbe es wg. "kaum" mind. eine kritische Lücke. Im Text steht...

aPollO2k 11. Okt 2018 / Themenstart

Ist es hier eigentlich zum Volkssport geworden sarkastischen Trollpostings zu erstellen...

Kommentieren


Folgen Sie uns
       


i-Cristal autonomer Bus - Interview (englisch)

Der nächste Schritt steht an: Der französische Verkehrsbetrieb plant einen Test mit einem autonom fahenden Bus. Er soll Anfang 2020 in einer französischen Großstadt im normalen Verkehr fahren.

i-Cristal autonomer Bus - Interview (englisch) Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

    •  /