firefox-logo-schwarz
Mozilla und Google haben neue Versionen ihrer Browser Firefox beziehungsweise Chrome veröffentlicht, die eine kritische Schwachstelle in der Crypto-Bibliothek Network Security Services (NSS) beseitigen. Sie ermöglicht es Angreifern, gefälschte Webseiten als echt auszugeben. Auf diese Weise könnten sie beispielsweise versuchen, Bankdaten oder Anmeldeinformationen abzugreifen.
Entdeckt – und jetzt auch öffentlich gemacht – hat die als „Berserk“ bezeichnete Sicherheitslücke das Team von Intel Security Advanced Threat Research. Zuvor hatte es Mozilla und Google über seinen Fund informiert.
Normalerweise sollen SSL-Authentifizierung und Verschlüsselung verhindern, das sich manipulierte Webseiten als das Original ausgeben können. Die jetzt geschlossene Lücke erlaubt es Angreifern aber, RSA-Signaturen für SSL-Verbindungen zu fälschen. Bei „Berserk“ handelt es sich um eine weitere Variante der 2006 erstmals aufgetretenen „Bleichenbacher PKCS#1 RSA-Signature-Schwachstelle“. Deren frühere Vertreter hat Ulrich Kühn von der Bochumer Sirrix AG bereits ausführlich beschrieben (PDF).
Unter Ausnutzung der Schwachstelle lässt sich die SSL-TLS-Authentifizierung von Websites umgehen. Laut Intel Security können Angreifer so Zertifikate für jede Domain fälschen. „Berserk“ stelle daher eine ernste Gefahr dar und unterminiere die Grundlagen, auf denen Webseiten als seriös und vertrauenswürdig eingeschätzt werden.
„Intel ist derzeit kein Angriff bekannt, der Berserk nutzt, doch raten wir privaten Firefox-Nutzern wie auch Unternehmen, sofort aktiv zu werden und ihre Browser mit dem neuesten Sicherheits-Update von Mozilla zu aktualisieren“, erklärt James Walter, Leiter des Advanced-Threat-Research Teams bei Intel Security.
Gleiches gilt für Nutzer von Mozillas E-Mail-Client Thunderbird und Internet-Suite SeaMonkey, für die ebenfalls Updates verfügbar sind. Auch Google hat die Lücke in Chrome und Chrome OS bereits geschlossen. Apples Safari ist offenbar nicht betroffen, weil es mit Secure Transport eine andere Verschlüsselungsbibliothek verwendet.
Firefox 32.0.3, Thunderbird 31.1.2 und SeaMonkey 2.29.1 stehen zum kostenlosen Download bereit. Die jüngste Chrome-Version für Windows und Mac trägt die Nummer 37.0.2062.124. Chrome OS liegt jetzt in Version 37.0.2062.120 vor.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
