von Martin Brinkmann am Oktober 10, 2018 in Firefox – 9 Kommentare
Eine der Kernkomponenten von Firefox web-browser ist das integrierte Update-system. Entwickelt, um zu überprüfen, regelmäßig nach neuen updates und download & installieren Sie die neuen updates automatisch, es ist eine Kernkomponente des Browsers.
Mozilla angeheuert, die deutschen security-Unternehmen X41 D-SEC GMBH mit der Prüfung des Application Update Service (AUS), dass die Befugnisse der automatischen Firefox-updates. Die Sicherheits-Forscher analysierten die update-Komponente in der Firefox-client als auch als backend-Dienste entwickelt, um updates und geben die Mozilla-Mitarbeiter mit management-Funktionalität (genannt Balrog).
Die Forscher analysierten den Quellcode der Komponenten und verwendet “werden verschiedene Methoden des penetration-Tests zur Bewertung der Integrität der Infrastruktur, web-Anwendungen und updater-clients”.
Keine kritischen Fragen
Keine kritischen Fragen, entdeckten die Forscher. Die Forscher fanden drei Schwachstellen, die Sie hoch bewertet, sieben, dass Sie bewertet medium, und vier, die Sie als niedrig eingestuft. Darüber hinaus entdeckten Sie 21 zusätzliche Probleme, die “ohne direkte Auswirkungen auf die Sicherheit”.
Alle Schwachstellen bewertet mit Schweregrad ” hoch gefunden wurden, die in der management-Konsole Balrog, die sind nur auf Mozilla-internen Netzwerk.
Die schwere Sicherheitslücke entdeckt wurde eine Cross-Site Request Forgery (CSRF) Schwachstelle in der administration von web-application-Schnittstelle, die möglicherweise erlauben Angreifern das auslösen ungewollter administrative Handlungen unter bestimmten Bedingungen.
Andere Schwachstellen identifiziert wurden Speicher-Korruption, unsichere Umgang mit nicht vertrauenswürdigen Daten und Probleme mit der Stabilität (Denial-of-Service (DoS)). Die meisten dieser Probleme sind eingeschränkt durch das Erfordernis zu umgehen kryptografischen Signaturen.
Keine Probleme wurden identifiziert, die im Umgang mit kryptographischen Signaturen für die update-Dateien. Es gab keine kryptografischen Signaturen auf XML-Dateien zur Beschreibung der update-Dateien ” Standort und andere Metadaten. Die Dateien, die heruntergeladen wurden per HTTPS, aber die server-Zertifikate oder öffentliche Schlüssel wurden nicht gepinnt.
Die drei Schwachstellen hoch bewertet sind:
- BLRG-PT-18-002: Verwenden von JavaScript-LibrariesWith Bekannte Schwachstellen
- BLRG-PT-18-010: CSRF-Token nicht Validiert
- BLRG-PT-18-011: Cookies, Ohne die Secure-Flag
Mozilla behebt einige der Probleme bereits und arbeitet aktiv an der Festlegung der noch offenen Fragen. Die volle auditt wurde veröffentlicht auf Google Drive. Es enthält detaillierte Informationen zu den erkannten Sicherheitslücken und weitere Dokumentation.
Fazit
Ein Dritter security-audit von Firefox die Aktualisierung der Komponenten sowohl in der client-und auf der backend Schluss, dass die Sicherheit war gut. Keine kritischen Probleme gefunden wurden, die während der Prüfung und alle Themen hoch bewertet wurden, finden Sie in der Verwaltungskonsole nur auf Mozilla-internen Netzwerk.