Audit des Firefox Update Mechanismus veröffentlicht

Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Die damit beauftragte Firma X41 D-Sec GmbH hat den Abschlussbericht dazu nun veröffentlicht. Im Fazit bewertet das Sicherheitsunternehmen den Update Service insgesamt als gut.

Einige Mängel sind beim im März und April 2018 durchgeführten Audit dennoch aufgetaucht, etwa 14 Sicherheitslücken, die aber nicht als kritisch eingestuft wurden. Zudem seien 21 weitere Probleme gefunden worden, die aber keinen Sicherheitsbezug hätten, heißt es im Bericht.

X41 D-Sec war damit beauftragt, alle am Update-Prozess beteiligten Komponenten auf Sicherheitsprobleme abzuklopfen. Das sei angefangen bei den am Update beteiligten Komponenten des Browser-Clients, über das Backend bis hin zur Management Webapplikation (Balrog) geschehen. Neben den dafür durchgeführten Pentratiosntest sei auch der Quellcode unter die Lupe genommen worden, so die Firma.

Die einzige ernstzunehmende Lücke sei ein Cross-Site Request Forgery (CSRF) in der BALROG-Komponente gewesen. Einige weitere hätten mit Speicherkorruption zu tun gehabt. Überwiegend sei es für einen Angriff aber nötig gewesen, die Verschlüsselung zu umgehen, was die Probleme insgesamt weniger gravierend machte. Dennoch sei hier eine Nachbesserung nötig, insbesondere weil die XML-Datei des Update-Service nicht via HTTPS verschickt werde.

Das Unternehmen sieht auch in den 21 Problemen, die quasi nebenbei gefunden wurden, eine gewisse Bedrohung für die Sicherheit des Firefox-Updates. Zwar sei keines dieser Probleme direkt sicherheitsrelevant, es könne aber nicht ausgeschlossen werden, dass dahinter nicht doch noch eine Angriffsfäche stecke.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben