Abo
  • IT-Karriere:

Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken

Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Der Abschlussbericht dazu steht nun bereit. Das beauftragte Sicherheitsunternehmen bewertet den Update Service insgesamt als gut.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Mozilla lässt seine Software regelmäßig durch Audits überprüfen.
Mozilla lässt seine Software regelmäßig durch Audits überprüfen. (Bild: Mozilla)

Der Firefox Application Update Service (AUS) ist eine der wohl wichtigsten Supportkomponenten für Mozilla, immerhin werden darüber weltweit die Aktualisierungen für den Firefox-Browser ausgeliefert. Mozilla hat deshalb, wie bei dem Unternehmen üblich, den AUS einem Sicherheitsaudit unterziehen lassen und stellt nun die Ergebnisse bereit.

Stellenmarkt
  1. Evangelische Kirche in Hessen und Nassau, Darmstadt
  2. TIMOCOM GmbH, Erkrath

Bei dem im März und April 2018 durchgeführten Audit sind einige Fehler aufgedeckt worden, darunter 14 Sicherheitslücken, die aber nicht als kritisch eingestuft wurden. Zudem seien 21 weitere Probleme gefunden worden, die jedoch keinen Sicherheitsbezug hätten, heißt es in dem Bericht (PDF).

Das Unternehmen X41 D-Sec war damit beauftragt, alle am Update-Prozess beteiligten Komponenten auf Sicherheitsprobleme zu überprüfen: angefangen bei den am Update beteiligten Komponenten des Browser-Clients über das Backend bis hin zur Management Webapplikation (Balrog). Neben den dafür durchgeführten Penetrationstests sei auch der Quellcode analysiert worden.

Lücken mit wenig Potenzial

Die einzige ernstzunehmende Lücke sei ein Cross-Site-Request-Forgery (CSRF) in der Balrog-Komponente gewesen. Einige weitere seien Speicherfehler gewesen oder auch die Möglichkeit für einen Denial-of-Service-Angriff. In den überwiegenden Fällen wäre es für einen erfolgreichen Angriff jedoch nötig gewesen, kryptographische Signaturen zu umgehen, was sehr schwierig ist und die eigentlichen Probleme deshalb insgesamt weniger gravierend mache. Dank mehrerer Schichten zur Authentifizierung sei das Risiko für einen Angriff damit eher gering, schreibt Mozilla. Trotzdem seien natürlich einige Verbesserungen vorgenommen worden.

Das Sicherheitsunternehmen sieht auch in den 21 Problemen, die quasi nebenbei gefunden wurden, eine gewisse Bedrohung für die Sicherheit des Firefox-Updates. Zwar sei keines dieser Probleme direkt sicherheitsrelevant, es könne aber nicht ausgeschlossen werden, dass dahinter nicht doch noch ein Angriffsvektor stecke. Auch diese sollten inzwischen behoben sein.



Anzeige
Top-Angebote
  1. (u. a. 49-Zoll-TV für 399,99€, High-Resolution-Kopfhörer für 159,99€, Alpha 5100...
  2. (u. a. Bluetooth-Lautsprecher für 29,99€, Over Ear Kopfhörer für 37,99€, Wireless Earbuds...
  3. (u. a. D24f FHD/144 Hz für 149€ + Versand statt 193,94€ im Vergleich)
  4. (u. a. Acer KG241QP FHD/144 Hz für 169€ und Samsung GQ55Q70 QLED-TV für 999€)

Minimee 12. Okt 2018

Was mir bei Mozilla Update gefällt ist: ... das der Update Dienst nicht ständig im...

1e3ste4 12. Okt 2018

Stimmt. Laut Überschrift gäbe es wg. "kaum" mind. eine kritische Lücke. Im Text steht...

aPollO2k 11. Okt 2018

Ist es hier eigentlich zum Volkssport geworden sarkastischen Trollpostings zu erstellen...


Folgen Sie uns
       


Motorola One Action im Hands On

Motorola hat das One Action vorgestellt. Das Mittelklasse-Smartphone hat eine Actionkamera eingebaut, die mit einem 117 Grad großen Weitwinkel und einer digitalen Bildstabilisierung versehen ist. Das One Action hat eine gute Mitteklasseausstattung und kostet 260 Euro.

Motorola One Action im Hands On Video aufrufen
    •  /