Sicherheitsupdates: Firefox und Tor Browser könnten private Schlüssel leaken

Wer mit Firefox, Firefox ESR oder dem anonymisierenden Tor Browser im Internet surft, sollte die Browser zeitnah aktualisieren. Die Entwickler haben in aktuellen Versionen mehrere Sicherheitslücken geschlossen. Das Angriffsrisiko gilt als "hoch".

Klappen Attacken, könnten Angreifer die Browser abstürzen lassen oder sogar Schadcode ausführen. Durch das erfolgreiche Ausnutzen einer Sicherheitslücke (CVE-2020-12399) in der Open-Source-Krypto-Bibliothek Network Security Services (NSS) könnten Angreifer Zugriff auf private Schlüssel bekommen. Dafür müssten sie in Form einer Timing-Attacke Berechnungszeiten bei der Erzeugung von DSA-Signaturen auswerten.

Wie diese und andere Attacken konkret aussehen könnten, führt Mozilla in der Warnmeldung nicht aus. Abgesichert sind die Versionen Firefox 77 und Firefox ESR 68.9. Neben der Sicherheit hat Mozilla in den aktuellen Versionen auch den Funktionsumfang gesteigert.

Anonym surfen

Der Tor Browser ist von den Schwachstellen ebenfalls betroffen, da er auf Firefox ESR aufbaut. Die Ausgabe 9.5 ist abgesichert. Mit dem Tor Browser surft man anonym im Internet. Dafür leitet der Browser jeglichen Datenverkehr verschlüsselt über das Tor-Netzwerk. Außerdem bringt der Browser Funktionen gegen Tracking mit.

Wie aus einem Blog-Beitrag der Entwickler hervorgeht, haben die sie nicht nur Sicherheitslücken geschlossen. Admins von Tor-Websites können ihre Seiten nun mittels erweiterten Authentifizierungsmöglichkeiten noch effizienter absichern. Außerdem gibt es für einige Tor-Websites nun ein neues Namensschema, sodass man sich die URLs besser merken kann. So kann man die Seite von The Intercept nun auch über theintercept.securedrop.tor.onion besuchen. Früher war das nur über die Eingabe von http://xpxduj55x2j27l2qytu2tcetykyfxbjbafin3x4i3ywddzphkbrd3jyd.onion möglich.

Das Plug-in zur automatischen Anforderung von verschlüsselten Verbindungen zu Websites HTTPS Everywhere ist nun in der Version 2020.5.20 implementiert. Die Erweiterung NoScript zum Blockieren von Skripten hat einen Sprung auf Ausgabe 11.0.26 erfahren.

[UPDATE, 04.06.2020 08:45 Uhr]

Mittlerweile hat Mozilla Firefox 77.0.1 veröffentlicht. In dieser Version haben die Entwickler die automatische Auswahl von Providern für DNS over HTTPS (DoH) deaktiviert. Damit wollen Sie vorbeugen, dass einzelne DoH-Provider von zu vielen Anfragen überrannt werden. DoH sorgt dafür, dass beispielsweise bei einem Websiten-Aufruf die DNS-Auflösung (Domain Name Service, Auflösung von Domainnamen zu IP-Adressen) verschlüsselt via HTTPS übertragen wird. Das beugt Spionage und Manipulation vor. (des)