Durch einen Fehler beim Bau neuer Versionen von Firefox und des Tor Browsers waren diese anfällig gegen Man-in-the-Middle-Angriffe, über die Schadcode eingeschleust werden konnte.

Mozilla und das Tor-Projekt haben Updates für Firefox und den Tor Browser herausgegeben, die eine Sicherheitslücke im Certificate-Pinning-Mechanismus beheben. Ein Angreifer in Man-in-the-Middle-Position hätte diese Lücke ausnutzen können, um Schadcode auf dem Rechner des Opfers auszuführen – dazu hätte er allerdings ein gültiges Zertifikat für addons.mozilla.org besitzen müssen.

An ein solches Zertifikat zu kommen ist schwer, aber nicht unmöglich. Vor allem für staatliche Sicherheitsdienste und Strafverfolgungsbehörden, die es bekannterweise auf Tor abgesehen haben. Mit einem solchen Zertifikat hätte der Angreifer dann über den Firefox-eigenen Update-Mechanismus ein bösartiges Update für ein Plug-in wie etwa NoScript einspielen können. NoScript ist im Tor Browser, der auf Firefox beruht, standardmäßig installiert.

Mit dem Update ist die Lücke sowohl im Tor Browser als auch in Firefox geschlossen. Das Problem war aufgetreten, da der Mechanismus, mit dem Mozilla die Pinning-Listen für neue Firefox-Releases erstellt, fehlerhaft gearbeitet hatte. Das hatte die Releases Firefox 48 vom 10. September und Firefox ESR 45.3.0 vom 3. September angreifbar gemacht. Dass Certificate Pinning zu kompliziert ist und deswegen keine Zukunft hat, hatte vor kurzem TLS-Experte Ivan Ristic angekreidet.

Quelle: //heise.de/-3328039