Update für Mozilla-Browser

Firefox 37 stopft etliche Sicherheitslücken

02.04.2015
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
In der neuen Firefox-Version 37.0 haben die Mozilla-Entwickler etliche Sicherheitslücken geschlossen. Sieben dieser Schwachstellen stufen sie als kritisch ein.

Nachdem die Ende Februar erschienene Firefox-Version 36 bereits mit 18 Sicherheitslücken aufgeräumt hatte, musste Mozilla im März noch drei Updates nachschieben (die Version 36.0.2 wurde übersprungen). Die zwei jüngeren Updates haben kritische Schwachstellen beseitigt, die beim Hacker-Wettbewerb Pwn2Own ans Licht gekommen waren. Die nun vorliegende Firefox-Version 37.0 beseitigt 17 weitere Lücken, die Mozilla auf 13 Sicherheitsberichte verteilt.

Sieben der geschlossenen Sicherheitslücken stuft Mozilla als kritisch ein. Sie könnten ausgenutzt werden, um Programmabstürze zu provozieren, bei denen eingeschleuster Code ausgeführt werden könnte. Der Nachweis, dass dies tatsächlich klappen kann, ist bislang noch nicht durch Angriffe im Web geführt worden - daher der Konjunktiv.

Download: Firefox 37

Mehrere Änderungen im Bereich der Verschlüsselung reduzieren die Angriffsfläche für Attacken auf die Privatsphäre der Firefox-Nutzer. So werden an sich unverschlüsselt übertragene HTTP-Anfragen nunmehr "opportunistisch" verschlüsselt. Das bedeutet, falls die Gegenstelle, der Web-Server, bereits den kommenden Standard HTTP/2 unterstützt und darüber eine verschlüsselte Übertragung anbietet, nutzt Firefox 37 diese Möglichkeit. Es findet allerdings keine Authentifizierung der Gegenstelle statt - Schutz vor Man-in-the-Middle-Angriffen bietet die opportunistische Verschlüsselung also nicht. Sie ist aber allemal besser als eine komplett im Klartext ablaufende Kommunikation zwischen Browser und Server.

Außerdem werden jetzt auch Suchanfragen an Microsoft Bing verschlüsselt - bei Google ist das schon länger der Fall. Die Unterstützung für das aus den frühen 1990er Jahren stammende, durch die NSA entwickelte DSA-Verschlüsselungsverfahren haben die Mozilla-Entwickler entfernt. Der Rückfall auf eine unsichere TLS-Version ist auch nicht mehr vorgesehen.

Firefox 37 Security Panel
Firefox 37 Security Panel

Unter den neuen Werkzeugen für Web-Entwickler bietet das neue Feld "Sicherheit" als Teil der Netzwerkanalyse die Möglichkeit die Details der aktuellen Verbindung zu inspizieren. So werden bei HTTPS-Verbindungen etwa auch Angaben über das verwendete SSL-Zertifikat und die TLS-Version angezeigt. So können Web-Entwickler (und kundige Nutzer) Problemen bei HTTPS-Verbindungen nachspüren. Zum Beispiel könnte eine HTTPS-Verbindung daran scheitern, dass der Web-Server noch auf veraltete Verschlüsselungsmethoden wie SSL 3.0 setzt, die Firefox aus Sicherheitsgründen nicht mehr unterstützt (vergleiche: POODLE-Lücke).

Wer aus Sicherheitsgründen auf die Installation des Flash-Plugin verzichtet, wird erfreut sein zu erfahren, dass die Mozilla-Entwickler in Firefox 37 nun native HTML5-Videowiedergabe für Youtube ermöglicht haben - allerdings nur für Windows-Nutzer.

Einige der eingangs genannten Sicherheitslücken betreffen auch den Mail-Client Thunderbird sowie die Websuite Seamonkey. Die entsprechenden Updates sind jedoch noch nicht erhältlich; Firefox ESR 31.6 ist hingegen bereits verfügbar. (PC Welt)