av Martin Brinkmann på oktober 10, 2018 i Firefox – 3 kommentarer
En av de viktigste komponentene av Firefox nettleser er integrert oppdatering system. Designet for å sjekke for nye oppdateringer med jevne mellomrom og laste ned og installere nye oppdateringer automatisk, det er en sentral komponent i nettleseren.
Mozilla ansatt tyske sikkerhet selskapet X41 D-SEK GMBH til revisjon Programmet Update Service (AUS) som driver automatisk Firefox oppdateringer. Selskapets security forskere analysert oppdateringen komponent i Firefox klienten så vel som backend tjenester designet for å levere oppdateringer og gi Mozilla ansatte med ledelsen funksjonalitet (kalt Balrog).
Forskerne har analysert kildekode komponenter og brukt “ulike metoder for penetrasjon tester for å vurdere integriteten av infrastruktur, web-applikasjoner, og updater-klienter”.
Ingen kritiske spørsmål
Ingen kritiske spørsmål ble oppdaget av forskere. Forskerne fant tre sikkerhetsproblemer som de rangert høyt, sju at de vurderte medium, og fire at de rangert lavt. I tillegg oppdaget de 21 andre problemer “uten en direkte sikkerhetsmessige konsekvenser”.
Alle sårbarheter rangert med en alvorlighetsgrad av høy ble funnet i management console Balrog som bare er tilgjengelig på mozillas interne nettverket.
Den mest alvorlige sikkerhetsproblemet oppdaget, var en Cross-Site Request Forgery (CSRF) sårbarhet i administrasjon web-program-grensesnitt, som kan gjøre det mulig for angripere å utløse utilsiktede administrative handlinger under visse betingelser.
Andre sikkerhetsproblemer ble identifisert minne korrupsjon problemer, usikker håndtering av ikke-klarerte data, og stabilitetsproblemer (Denial of Service (DoS)). De fleste av disse problemene ble begrenset av kravet til å omgå kryptografiske signaturer.
Ingen saker ble identifisert i håndtering av kryptografiske underskrifter for å oppdatere filene. Det var ingen kryptografiske signaturer på XML-filer som beskriver oppdateringen filer’ plassering og andre metadata. Filene ble lastet ned via HTTPS, men serversertifikater eller offentlige nøkler ikke var festet.
De tre sårbarheter rangert høyt, er:
- BLRG-PT-18-002: Bruk av Usikre JavaScript LibrariesWith Kjente Sårbarheter
- BLRG-PT-18-010: CSRF-Token ikke er Validert
- BLRG-PT-18-011: Informasjonskapsler Uten Sikker Flagg
Mozilla løst noen av problemene allerede, og arbeider aktivt for å løse de gjenværende problemene. Full auditt har blitt publisert på Google Disk. Den inneholder detaljert informasjon om hver av de oppdagede sikkerhetsproblemer og ytterligere dokumentasjon.
Konklusjon
En tredje-part sikkerhet revisjon av Firefox oppdatering komponenter både hos klienten og på backend konkluderte med at sikkerheten var god. Ingen kritiske spørsmål som ble funnet under revisjon, og alle saker vurdert høy ble funnet i den administrative konsollen bare tilgjengelig på mozillas interne nettverket.