Web

 

Mozilla hat Sicherheitslücken bei Zertifikaten

28.07.2004

Anwender, die den Einsatz von Mozilla als sichere Alternative zum Internet Explorer erwägen, sollten Experten zufolge das nächste Release abwarten. Denn der quelloffene Browser weist zwei Lecks in der Verarbeitung digitaler Zertifikate auf.

Die Entwickler waren eigenen Angaben zufolge von der Entdeckung der Bugs überrascht, da sie in Quellcode stecken, der von Netscape übernommen wurde und bereits über sechs Jahre alt ist. Laut Chris Hofmann, Entwicklungschef bei der Mozilla-Foundation verursachte er bislang keinerlei Probleme.

Das erste Leck betrifft den Mozilla-Browser "Firefox" (Versionen 0.91 und 0.92) und wurde in der Mailing-Liste "Bugtraq" vom Security-Spezialisten Emmanouel Kellinis veröffentlicht. Er ermöglicht es, Mozilla-Nutzern beim Besuch beliebiger Websites Zertifikate vertrauenswürdiger Homepages unterzuschieben (Certificate Spoofing). Dadurch könnte einem Anwender zum Beispiel vorgegaukelt werden, er sei auf der Online-Banking-Seite seiner Hausbank, obwohl er auf eine manipulierte Website umgeleitet wurde. Laut Kellinis ist ein Fehler in der Verwaltung des Zwischenspeichers dafür verantwortlich.

Das zweite Leck hat Marcel Boesch in der Mozilla-Fehlerliste Bugzilla beschrieben. Es lässt DoS-Angriffe (Denial of Service) über manipulierte Zertifikat zu. In diesem Fall hilft nur noch der Neustart der Applikation. Aus dem Bugzilla-Eintrag geht hervor, dass bereits eine Fehlerbereinigung entwickelt wurde.

Die Mozilla-Foundation hat noch nicht entschieden, ob für die Browser-Versionen Mozilla 1.7.1 und Firefox 0.9.2 Patches nachgereicht oder neue fehlerbereinigte Programm-Releases veröffentlicht werden. (lex)