• IT-Karriere:
  • Services:

Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken

Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Der Abschlussbericht dazu steht nun bereit. Das beauftragte Sicherheitsunternehmen bewertet den Update Service insgesamt als gut.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Mozilla lässt seine Software regelmäßig durch Audits überprüfen.
Mozilla lässt seine Software regelmäßig durch Audits überprüfen. (Bild: Mozilla)

Der Firefox Application Update Service (AUS) ist eine der wohl wichtigsten Supportkomponenten für Mozilla, immerhin werden darüber weltweit die Aktualisierungen für den Firefox-Browser ausgeliefert. Mozilla hat deshalb, wie bei dem Unternehmen üblich, den AUS einem Sicherheitsaudit unterziehen lassen und stellt nun die Ergebnisse bereit.

Stellenmarkt
  1. heroal - Johann Henkenjohann GmbH & Co. KG, Verl
  2. InnoGames GmbH, Hamburg

Bei dem im März und April 2018 durchgeführten Audit sind einige Fehler aufgedeckt worden, darunter 14 Sicherheitslücken, die aber nicht als kritisch eingestuft wurden. Zudem seien 21 weitere Probleme gefunden worden, die jedoch keinen Sicherheitsbezug hätten, heißt es in dem Bericht (PDF).

Das Unternehmen X41 D-Sec war damit beauftragt, alle am Update-Prozess beteiligten Komponenten auf Sicherheitsprobleme zu überprüfen: angefangen bei den am Update beteiligten Komponenten des Browser-Clients über das Backend bis hin zur Management Webapplikation (Balrog). Neben den dafür durchgeführten Penetrationstests sei auch der Quellcode analysiert worden.

Lücken mit wenig Potenzial

Die einzige ernstzunehmende Lücke sei ein Cross-Site-Request-Forgery (CSRF) in der Balrog-Komponente gewesen. Einige weitere seien Speicherfehler gewesen oder auch die Möglichkeit für einen Denial-of-Service-Angriff. In den überwiegenden Fällen wäre es für einen erfolgreichen Angriff jedoch nötig gewesen, kryptographische Signaturen zu umgehen, was sehr schwierig ist und die eigentlichen Probleme deshalb insgesamt weniger gravierend mache. Dank mehrerer Schichten zur Authentifizierung sei das Risiko für einen Angriff damit eher gering, schreibt Mozilla. Trotzdem seien natürlich einige Verbesserungen vorgenommen worden.

Das Sicherheitsunternehmen sieht auch in den 21 Problemen, die quasi nebenbei gefunden wurden, eine gewisse Bedrohung für die Sicherheit des Firefox-Updates. Zwar sei keines dieser Probleme direkt sicherheitsrelevant, es könne aber nicht ausgeschlossen werden, dass dahinter nicht doch noch ein Angriffsvektor stecke. Auch diese sollten inzwischen behoben sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Minimee 12. Okt 2018

Was mir bei Mozilla Update gefällt ist: ... das der Update Dienst nicht ständig im...

1e3ste4 12. Okt 2018

Stimmt. Laut Überschrift gäbe es wg. "kaum" mind. eine kritische Lücke. Im Text steht...

aPollO2k 11. Okt 2018

Ist es hier eigentlich zum Volkssport geworden sarkastischen Trollpostings zu erstellen...


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

    •  /