collombo
MyBoerse.bz Pro Member
Gestern haben Mozillas Entwickler den Firefox 37.0.1, der mehrere Fehler und Sicherheitslücken in der am Dienstag veröffentlichten Version 37.0 korrigiert, freigegeben.
Hierzu musste auch HTTP/2 AltSvc deaktiviert werden, welches den Aufbau verschlüsselter http-Verbindungen ermöglichen sollte.
Darüber hinaus hatten Grafiktreiber und Software von Drittanbietern beim Firefox 37.0 für Startprobleme gesorgt.
HTTP/2 AltSvc sollte die Kommunikation eigentlich sicherer machen, in dem es normale http-Verbindungen verschlüsselt.
Im Gegensatz zu https werden die dabei verwendeten Zertifikate nicht von einer dritten Stelle beglaubigt, aber schließlich ist alles besser, als Daten im Klartext zu übertragen.
Allerdings entdeckte der Sicherheitsforscher Muneaki Nishimura, dass sich mit Hilfe von Mozillas Implementierung auch die Prüfung regulärer SSL-Zertifikate umgehen lässt, so dass im Falle ungültiger Zertifikate keine Warnung erfolgt.
Mittelsmänner können dabei unter Verwendung eigener Zertifikate unbemerkt andere Webseiten nachahmen.
Damit dies nicht geschieht, hat Mozilla HTTP/2 AltSvc vorläufig deaktiviert.
Auch eine weitere Neuerung, der Lesemodus, bereitet Probleme.
Den Lesemodus gibt es bisher nur im Firefox für Android, er soll Webseiten mit dem Ziel einer besseren Lesbarkeit aufbereiten.
Dabei arbeitet der Lesemodus als unprivilegierter Inhalt.
Ist die Aufbereitung nicht möglich, zeigt der Lesemodus die normale Webseite an.
Wie der Sicherheitsforscher Armin Razmdjou feststellen musste, wird auch diese Anzeige als unprivilegierter Inhalt umgesetzt, so dass die üblichen Restriktionen für eingebettete URLs oder Frames nicht beachtet werden.
In Kombination mit einer weiteren Sicherheitslücke, lässt sich dann die Same-Origin-Policy (SOP) umgehen und beliebiger Code einschleusen.
Diese Schwachstelle konnte Mozilla korrigieren.
Download hier, in vielen Sprachen .....
Hierzu musste auch HTTP/2 AltSvc deaktiviert werden, welches den Aufbau verschlüsselter http-Verbindungen ermöglichen sollte.
Darüber hinaus hatten Grafiktreiber und Software von Drittanbietern beim Firefox 37.0 für Startprobleme gesorgt.
HTTP/2 AltSvc sollte die Kommunikation eigentlich sicherer machen, in dem es normale http-Verbindungen verschlüsselt.
Im Gegensatz zu https werden die dabei verwendeten Zertifikate nicht von einer dritten Stelle beglaubigt, aber schließlich ist alles besser, als Daten im Klartext zu übertragen.
Allerdings entdeckte der Sicherheitsforscher Muneaki Nishimura, dass sich mit Hilfe von Mozillas Implementierung auch die Prüfung regulärer SSL-Zertifikate umgehen lässt, so dass im Falle ungültiger Zertifikate keine Warnung erfolgt.
Mittelsmänner können dabei unter Verwendung eigener Zertifikate unbemerkt andere Webseiten nachahmen.
Damit dies nicht geschieht, hat Mozilla HTTP/2 AltSvc vorläufig deaktiviert.
Auch eine weitere Neuerung, der Lesemodus, bereitet Probleme.
Den Lesemodus gibt es bisher nur im Firefox für Android, er soll Webseiten mit dem Ziel einer besseren Lesbarkeit aufbereiten.
Dabei arbeitet der Lesemodus als unprivilegierter Inhalt.
Ist die Aufbereitung nicht möglich, zeigt der Lesemodus die normale Webseite an.
Wie der Sicherheitsforscher Armin Razmdjou feststellen musste, wird auch diese Anzeige als unprivilegierter Inhalt umgesetzt, so dass die üblichen Restriktionen für eingebettete URLs oder Frames nicht beachtet werden.
In Kombination mit einer weiteren Sicherheitslücke, lässt sich dann die Same-Origin-Policy (SOP) umgehen und beliebiger Code einschleusen.
Diese Schwachstelle konnte Mozilla korrigieren.
Download hier, in vielen Sprachen .....
