Auch Chrome betroffen

Firefox - Mozilla schließt problematische Browser-Lücke

Firefox, Seamonkey und Chrome haben eine Sicherheitslücke, mit der Web-Server ein Zertifikat fälschen können, um sich als beliebige Website auszugeben.

Screenshot von der Mozilla-Webseite

© Screenshot: Frank Ziemann

Firefox bekommt ein Update, auch von Chrome steht eine neue Version bereit.

Mozilla hat seine Programmbibliothek NSS (Network Security Services) aktualisiert, um einen Fehler in der Zertifikatsprüfung zu beseitigen. Die neuen Versionen Firefox 32.0.3, Seamonkey 2.29.1 und Thunderbird 31.1.2 enthalten eine fehlerbereinigte NSS-Version. Auch Googles Browser Chrome nutzt Mozillas NSS-Bibliothek. Google hat deshalb Chrome 37.0.2062.124 veröffentlicht.

Entdeckt haben den Fehler mehrere Sicherheitsforscher unabhängig voneinander: Antoine Delignat-Lavaud, Mitglied des Prosecco-Teams der Forschungseinrichtung Inria in Paris, hat das Problem an Mozilla gemeldet. Parallel dazu hat Intel Security (vormals McAfee) die Schwachstelle erforscht. Sie vermuten eine Verwandschaft mit einer bereits 2006 in OpenSSL entdeckten Schwachstelle.

Download: Firefox

Das Problem in bisherigen Versionen der NSS-Bibliothek besteht darin, dass RSA-Zertifikate nicht sorgfältig genug überprüft werden. Mit solchen Zertifikaten weist sich eine Website bei SSL-verschlüsselten Verbindungen (HTTPS) gegenüber dem Browser aus. Durch die nachlässige Zertifikatsprüfung kann sich eine beliebige Website etwa als Web-Präsenz einer Bank ausgeben. Ein Phishing-Angriff wirkt so weitaus überzeugender.

Download: Chrome

Firefox 32.0.3 ist bereits das dritte Korrektur-Update seit der Veröffentlichung von Firefox 32 Anfang September. Es ist allerdings das erste Update dieser Reihe, das eine Sicherheitslücke schließt. Die beiden anderen haben lediglich kleinere Fehler korrigiert.