Mozilla und Google schließen kritische Lücke in ihren Browsern

Eine Schwachstelle in der Crypto-Bibliothek Network Security Services erlaubt Angreifern, RSA-Zertifikate für SSL-Verbindungen zu fälschen. So können sie eine manipulierte Webseite als Original ausgeben. Auf diese Weise ließen sich beispielsweise Anmelde- oder Bankdaten abgreifen.

Mozilla und Google haben neue Versionen ihrer Browser Firefox beziehungsweise Chrome veröffentlicht, die eine kritische Schwachstelle in der Crypto-Bibliothek Network Security Services (NSS) beseitigen. Sie ermöglicht es Angreifern, gefälschte Webseiten als echt auszugeben. Auf diese Weise könnten sie beispielsweise versuchen, Bankdaten oder Anmeldeinformationen abzugreifen.

Firefox-Logo (Bild: Mozilla)

Entdeckt – und jetzt auch öffentlich gemacht – hat die als „Berserk“ bezeichnete Sicherheitslücke das Team von Intel Security Advanced Threat Research. Zuvor hatte es Mozilla und Google über seinen Fund informiert.

Normalerweise sollen SSL-Authentifizierung und Verschlüsselung verhindern, das sich manipulierte Webseiten als das Original ausgeben können. Die jetzt geschlossene Lücke erlaubt es Angreifern aber, RSA-Signaturen für SSL-Verbindungen zu fälschen. Bei „Berserk“ handelt es sich um eine weitere Variante der 2006 erstmals aufgetretenen „Bleichenbacher PKCS#1 RSA-Signature-Schwachstelle“. Deren frühere Vertreter hat Ulrich Kühn von der Bochumer Sirrix AG bereits ausführlich beschrieben (PDF).

Unter Ausnutzung der Schwachstelle lässt sich die SSL-TLS-Authentifizierung von Websites umgehen. Laut Intel Security können Angreifer so Zertifikate für jede Domain fälschen. „Berserk“ stelle daher eine ernste Gefahr dar und unterminiere die Grundlagen, auf denen Webseiten als seriös und vertrauenswürdig eingeschätzt werden.

Google Chrome

„Intel ist derzeit kein Angriff bekannt, der Berserk nutzt, doch raten wir privaten Firefox-Nutzern wie auch Unternehmen, sofort aktiv zu werden und ihre Browser mit dem neuesten Sicherheits-Update von Mozilla zu aktualisieren“, erklärt James Walter, Leiter des Advanced-Threat-Research Teams bei Intel Security.

Gleiches gilt für Nutzer von Mozillas E-Mail-Client Thunderbird und Internet-Suite SeaMonkey, für die ebenfalls Updates verfügbar sind. Auch Google hat die Lücke in Chrome und Chrome OS bereits geschlossen. Apples Safari ist offenbar nicht betroffen, weil es mit Secure Transport eine andere Verschlüsselungsbibliothek verwendet.

Firefox 32.0.3, Thunderbird 31.1.2 und SeaMonkey 2.29.1 stehen zum kostenlosen Download bereit. Die jüngste Chrome-Version für Windows und Mac trägt die Nummer 37.0.2062.124. Chrome OS liegt jetzt in Version 37.0.2062.120 vor.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Browser, Chrome, Firefox, Google, Mozilla, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Mozilla und Google schließen kritische Lücke in ihren Browsern

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *