Mozilla erwägt Abschaltung von Java in Firefox
Weil sich die TLS-Schwachstelle derzeit nur über Java (und Websockets) ausnutzen lässt, könnten in einem kommenden Update die Java-Plug-ins deaktiviert sein.
- Daniel Bachfeld
Als mögliche Interims-Lösung für die gemeldete SSL/TLS-Schwachstelle diskutieren die Firefox-Entwickler, das Java-Plug-in von Oracle im Browser zu deaktivieren. Das Java-Plug-in macht das Ausnutzen der von Rizzo und Duong vergangene Woche demonstrierten Schwachstellen nämlich erst möglich. So zeigten sie, wie sich Cookies von beliebigen Webseiten trotz verschlüsselter Verbindung rekonstruieren ließen.
Für ihren Chosen-Plaintext-Angriff auf den bei TLS zumeist verwendeten Cipher-Block-Chaining-Mode (CBC) müssen Rizzo und Duong nämlich die Same Origin Policy (SOP) des Browsers aushebeln, um auch mit Servern kommunizieren zu können, die nicht aus der Domain stammen, aus der etwa das Java-Applet stammt.
Die SOP soll zwar genau dies verhindern, offenbar gibt es aber einen bislang unbekannten Fehler in Java, mit dem sich das bewerkstelligen lässt. So gesehen wäre nach Meinung der Firefox-Entwickler nun eigentlich Oracle am Zug, das Problem zunächst in Java zu lösen. Die haben aber bislang nicht reagiert, sodass nun erwogen wird, mit einem Firefox-Update sämtliche Java-Plug-ins aus Sicherheitsgründen abzuschalten. Das würde aber bei einigen Anwendern zu Funktionsausfällen führen. Firefox-Häuptling Johnathan Nightingale nennt den Facebook-Videochat als Beispiel sowie diverse Unternehmensanwendungen.
Google hat eine andere Lösung in die Chrome-Entwicklerversion implementiert: Um dem Angreifer die Kontrolle über den einzuschleusenden Klartext zu erschweren, werden Pakete aufgeteilt und jedem Paket ein leeres vorangestellt. Das führte bisherigen Meldungen zufolge bislang nur bei wenigen Sites zu Problemen. Wann Google den Workaround in die stabile Version einfließen lässt, ist jedoch nicht bekannt.
Microsoft hat als Lösung das Umschalten von TLS 1.0 auf TLS 1.1 empfohlen, das muss jedoch der Server unterstützen – und bislang tun dies wenige. Zudem ist nach Meinung einiger Firefox-Entwickler das Problem damit nicht wirklich gelöst, da Java seinen eigenen TLS-Stack benutzt – und der unterstützt nur die verwundbare TLS-Version 1.0. (dab)