Firefox-Update: Mozilla schaltet opportunistische VerschlĂĽsselung wieder aus

Nicht mal eine Woche nach Firefox 37 muss Mozilla nun Firefox 37.0.1 nachlegen. Das Sicherheits-Feature "opportunistic encryption" kann missbraucht werden, um die Sicherheit von SSL/TLS-Verbindungen zu untergraben und wurde wieder entfernt.

In Pocket speichern vorlesen Druckansicht 98 Kommentare lesen
Firefox-Update: Mozilla schaltet opportunistische VerschlĂĽsselung wieder aus
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Die Entwickler bei Mozilla haben die neue Funktion für opportunistische Verschlüsselung in Firefox 37 mit einem Sicherheitsupdate wieder deaktiviert. Die Kehrtwende wurde nötig, nachdem ein Sicherheitsforscher die Macher des beliebten Webbrowsers darauf hingewiesen hatte, dass das neuartige Verfahren missbraucht werden kann, um die Sicherheit von SSL/TLS-Verbindungen zu untergraben (CVE-2015-0799).

Mozillas opportunistische Verschlüsselung nutzt die Funktion für "Alternative Services" des HTTP/2-Protokolls. Allerdings enthält die Implementation Fehler, die ein Angreifer missbrauchen kann, um als Man-in-the-Middle seinem Opfer ein selbstsigniertes Zertifikat unterzuschieben, die Prüfung der Signatur zu unterbinden und den gesamten Datenverkehr mitzuschreiben.

Normalerweise müsste der Browser des Opfers eine Warnung ausspucken, dass ihm ein neues, potentiell gefährliches Zertifikat angeboten wurde. Da der Angreifer diese Warnung aber unterdrücken kann, würde der Nutzer den Angriff nur dann entdecken, wenn er ohnehin alle Zertifikate manuell überprüft – ein Vorgehen, das beim alltäglichen Surfen in der Praxis kaum umzusetzen ist.

Die Entwickler stufen das Problem als "kritisch" ein und haben deswegen die opportunistische Verschlüsselung mit dem bereits erschienenen Firefox 37.0.1 erst einmal wieder entfernt. Das entsprechende Update wird bereits automatisch über die Update-Funktion des Browsers verteilt. Später soll die opportunistische Verschlüsselung wieder aktiviert werden – allerdings erst nach eingehenden Tests. (fab)