Abo
  • IT-Karriere:

Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken

Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Der Abschlussbericht dazu steht nun bereit. Das beauftragte Sicherheitsunternehmen bewertet den Update Service insgesamt als gut.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Mozilla lässt seine Software regelmäßig durch Audits überprüfen.
Mozilla lässt seine Software regelmäßig durch Audits überprüfen. (Bild: Mozilla)

Der Firefox Application Update Service (AUS) ist eine der wohl wichtigsten Supportkomponenten für Mozilla, immerhin werden darüber weltweit die Aktualisierungen für den Firefox-Browser ausgeliefert. Mozilla hat deshalb, wie bei dem Unternehmen üblich, den AUS einem Sicherheitsaudit unterziehen lassen und stellt nun die Ergebnisse bereit.

Stellenmarkt
  1. Mey GmbH & Co. KG, Albstadt-Lautlingen
  2. Conergos, München

Bei dem im März und April 2018 durchgeführten Audit sind einige Fehler aufgedeckt worden, darunter 14 Sicherheitslücken, die aber nicht als kritisch eingestuft wurden. Zudem seien 21 weitere Probleme gefunden worden, die jedoch keinen Sicherheitsbezug hätten, heißt es in dem Bericht (PDF).

Das Unternehmen X41 D-Sec war damit beauftragt, alle am Update-Prozess beteiligten Komponenten auf Sicherheitsprobleme zu überprüfen: angefangen bei den am Update beteiligten Komponenten des Browser-Clients über das Backend bis hin zur Management Webapplikation (Balrog). Neben den dafür durchgeführten Penetrationstests sei auch der Quellcode analysiert worden.

Lücken mit wenig Potenzial

Die einzige ernstzunehmende Lücke sei ein Cross-Site-Request-Forgery (CSRF) in der Balrog-Komponente gewesen. Einige weitere seien Speicherfehler gewesen oder auch die Möglichkeit für einen Denial-of-Service-Angriff. In den überwiegenden Fällen wäre es für einen erfolgreichen Angriff jedoch nötig gewesen, kryptographische Signaturen zu umgehen, was sehr schwierig ist und die eigentlichen Probleme deshalb insgesamt weniger gravierend mache. Dank mehrerer Schichten zur Authentifizierung sei das Risiko für einen Angriff damit eher gering, schreibt Mozilla. Trotzdem seien natürlich einige Verbesserungen vorgenommen worden.

Das Sicherheitsunternehmen sieht auch in den 21 Problemen, die quasi nebenbei gefunden wurden, eine gewisse Bedrohung für die Sicherheit des Firefox-Updates. Zwar sei keines dieser Probleme direkt sicherheitsrelevant, es könne aber nicht ausgeschlossen werden, dass dahinter nicht doch noch ein Angriffsvektor stecke. Auch diese sollten inzwischen behoben sein.



Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung
  2. 289€
  3. 245,90€

Minimee 12. Okt 2018

Was mir bei Mozilla Update gefällt ist: ... das der Update Dienst nicht ständig im...

1e3ste4 12. Okt 2018

Stimmt. Laut Überschrift gäbe es wg. "kaum" mind. eine kritische Lücke. Im Text steht...

aPollO2k 11. Okt 2018

Ist es hier eigentlich zum Volkssport geworden sarkastischen Trollpostings zu erstellen...


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


      •  /