Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken

Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Der Abschlussbericht dazu steht nun bereit. Das beauftragte Sicherheitsunternehmen bewertet den Update Service insgesamt als gut.
/ Sebastian Grüner
7 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Mozilla lässt seine Software regelmäßig durch Audits überprüfen. (Bild: Mozilla)
Mozilla lässt seine Software regelmäßig durch Audits überprüfen. Bild: Mozilla

Der Firefox Application Update Service (AUS) ist eine der wohl wichtigsten Supportkomponenten für Mozilla, immerhin werden darüber weltweit die Aktualisierungen für den Firefox-Browser ausgeliefert. Mozilla hat deshalb, wie bei dem Unternehmen üblich, den AUS einem Sicherheitsaudit unterziehen lassen und stellt nun die Ergebnisse bereit(öffnet im neuen Fenster).

Bei dem im März und April 2018 durchgeführten Audit sind einige Fehler aufgedeckt worden, darunter 14 Sicherheitslücken, die aber nicht als kritisch eingestuft wurden. Zudem seien 21 weitere Probleme gefunden worden, die jedoch keinen Sicherheitsbezug hätten, heißt es in dem Bericht (PDF(öffnet im neuen Fenster)).

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Das Unternehmen X41 D-Sec war damit beauftragt, alle am Update-Prozess beteiligten Komponenten auf Sicherheitsprobleme zu überprüfen: angefangen bei den am Update beteiligten Komponenten des Browser-Clients über das Backend bis hin zur Management Webapplikation (Balrog). Neben den dafür durchgeführten Penetrationstests sei auch der Quellcode analysiert worden.

Lücken mit wenig Potenzial

Die einzige ernstzunehmende Lücke sei ein Cross-Site-Request-Forgery (CSRF) in der Balrog-Komponente gewesen. Einige weitere seien Speicherfehler gewesen oder auch die Möglichkeit für einen Denial-of-Service-Angriff. In den überwiegenden Fällen wäre es für einen erfolgreichen Angriff jedoch nötig gewesen, kryptographische Signaturen zu umgehen, was sehr schwierig ist und die eigentlichen Probleme deshalb insgesamt weniger gravierend mache. Dank mehrerer Schichten zur Authentifizierung sei das Risiko für einen Angriff damit eher gering, schreibt Mozilla. Trotzdem seien natürlich einige Verbesserungen vorgenommen worden.

Das Sicherheitsunternehmen sieht auch in den 21 Problemen, die quasi nebenbei gefunden wurden, eine gewisse Bedrohung für die Sicherheit des Firefox-Updates. Zwar sei keines dieser Probleme direkt sicherheitsrelevant, es könne aber nicht ausgeschlossen werden, dass dahinter nicht doch noch ein Angriffsvektor stecke. Auch diese sollten inzwischen behoben sein.

Zur Startseite 7 Kommentare

Relevante Themen

Updates & PatchesOpen SourceSecurityWissenInnovation & ForschungTechnologieDatensicherheit