Um eine Sicherheitslücke im Certificate-Pinning-Mechanismus zu beheben, haben Mozilla und das Tor-Projekt Updates für Firefox und den Tor Browser herausgegeben. Diese Lücke hätte ein Angreifer in Man-in-the-Middle-Position ausnutzen können, um auf dem Rechner des Opfers Schadcode auszuführen. Allerdings hätte der Angreifer dazu ein gültiges Zertifikat für addons.mozilla.org besitzen müssen.

Es ist zwar schwer an ein solches Zertifikat zu kommen, aber nicht unmöglich. Vor allem für Strafverfolgungsbehörden und staatliche Sicherheitsdienste, die es auf Tor abgesehen haben. Der Angreifer hätte mit einem solchen Zertifikat dann ein bösartiges Update für ein Plug-in wie etwa NoScript über den Firefox-eigenen Update-Mechanismus einspielen können. Im Tor Browser, der auf Firefox beruht, ist NoScript standardmäßig installiert.

Durch das Update wird die Lücke sowohl im Firefox als auch im Tor Browser geschlossen. Durch den fehlerhaften Mechanismus, mit dem Mozilla die Pinning-Listen für neue Firefox-Releases erstellt, war das Problem aufgetreten. Das hatte die Releases Firefox 48 vom 10. September und Firefox ESR 45.3.0 vom 3. September angreifbar gemacht. Vor kurzem hatte der TLS-Experte Ivan Ristic das Certificate Pinning angekreidet, da es zu kompliziert sei und deswegen keine Zukunft hätte.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE