Mozilla hat mit einem Update brisante Sicherheitslücken im Browser Firefox geschlossen. Eine davon betrifft die mit Version 37 erst neu eingeführte Verschlüsselungsmethode. Die zweite Lücke klafft in der Android -Version des Browsers. Angreifer können über beide Schwachstellen den Internetverkehr mitschneiden und so Passwörter oder andere sensible Daten stehlen. Betroffen sind sämtliche Firefox-Ausgaben für Linux , Mac OS X , Windows und Android.
Windows von Platzfressern und Systembremsen befreien
Erst vor wenigen Tagen hatte Mozilla mit Version 37 seines beliebten Browsers eine neue Verschlüsselungsmethode eingeführt. Mit der sogenannten "opportunistischen Verschlüsselung" lassen sich Verbindungen zu Internetseiten und -diensten verschlüsseln, die ansonsten nicht verschlüsselt wären. Dazu wurde HTTP/2, ein alternativer Service von Mozilla, eingesetzt.
Mozillas alternativer HTTP-Service lückenhaft
Der Sicherheitsforscher Muneaki Nishimura hat jedoch eine "kritische" Schwachstelle (CVE-2015-0799) in der "opportunistischen Verschlüsselung" entdeckt. Über eine sogenannte "Man-in-the-Middle"-Attacke können sich Hacker zwischen das Gerät eines Nutzers und den kontaktierten Internetserver schalten. Dabei können Angreifer die Zertifikats-Prüfung umgehen, die für die Echtheit eines Internetdienstes bürgt.
Auf diese Weise lässt sich dem Browser vorgaukeln, er habe sich etwa mit einem geprüften Online-Shop verbunden – tatsächlich fließen die Daten aber über einen Internetserver der Online-Kriminellen. Anschließend können sie Daten ausspähen oder auch Schadcode auf den betroffenen Computer schmuggeln.
Mozilla hat dieses Problem im Moment nur provisorisch gelöst und deaktiviert den neuen Verschlüsselungsdienst mit dem Update auf Firefox 37.0.1 einfach wieder. Die eigentliche Lücke muss also noch geschlossen werden.
Android-Version von Firefox mit weiterer Lücke
Das zweite Sicherheitsleck klafft in der Android-Version von Firefox, also dem Browser für Smartphones und Tablets. Der mobile Browser verfügt über einen Lesemodus, mit dem sich Online-Texte leichter lesen lassen.
Allerdings lassen sich sogenannte privilegierte Internetadressen an den Lesemodus weiterleiten, die eigentlich geltende Beschränkungen umgehen. Zusammen mit einer weiteren Schwachstelle ließe sich so Schadcode auf Smartphones und Tablets ausführen.
Mozilla stufte die Sicherheitslücke als "hoch" ein, das ist nach "kritisch" die zweithöchste Stufe auf der Bedenklichkeitsskala. Auch die Nutzer der mobilen Version sollten Firefox daher umgehend aktualisieren.
So aktualisieren Sie Firefox
Auf Notebooks und Desktop-PCs aktualisiert sich Firefox in der Regel mit einem Neustart des Browsers. Sie können die Installation aber auch manuell anstoßen, indem Sie im Menü "Hilfe" den Eintrag "Über Firefox" anklicken (Tastenkombination: "Alt" -> "H" -> "E").
Auch auf Smartphone und Tablets erfolgt das Firefox-Update automatisch, es sei denn Sie haben die Auto-Update-Funktion in Android abgeschaltet. In diesem Fall können Sie die aktuelle Version der Firefox-App entweder über Google Play herunterladen oder "Automatische App-Updates" wieder zulassen. Öffnen Sie für Letzteres in Google Play das Menü "Meine Apps" und dann die "Einstellungen". Über den Eintrag "Automatische App-Updates" können Sie festlegen, ob und wann Sie die Software-Aktualisierungen erlauben.
Weitere spannende Digital-Themen finden Sie hier .