Mozilla behebt Firefox-Fehler, der das Spoofing von HTTPS-Browser-Vorhängeschloss ermöglichte

Cyber Security News

Die Mozilla Foundation veröffentlicht Firefox 88 und behebt 13 Fehler, die von hohem bis niedrigem Schweregrad reichen.

Die Mozilla Foundation hat einen Fehler im Firefox-Browser behoben, der es ermöglichte, das Symbol für sichere HTTPS-Kommunikation, das als Vorhängeschloss im Adressfenster des Browsers angezeigt wird, zu fälschen. Eine erfolgreiche Ausnutzung des Fehlers hätte es einer betrügerischen Website ermöglichen können, die Browser-Kommunikation abzufangen.

Der Patch war Teil des Montags-Updates der Non-Profit-Organisation für Firefox 88 sowie für den Unternehmens-Browser Firefox ESR 78.10 und den E-Mail-Client Thunderbird 78.10. Insgesamt behebt Firefox 88 13 Browser-Fehler, von denen sechs als hochgradig gefährlich eingestuft werden.

Vorhängeschloss-Bug: Falsches Gefühl von Sicherheit

Der als CVE-2021-23998 verfolgte Secure-Lock-Icon-Bug betrifft sowohl die Consumer- als auch die Corporate-Version des Firefox-Browsers vor den Montagsversionen. “Durch komplizierte Navigationen mit neuen Fenstern könnte eine HTTP-Seite ein Sicherheitsschloss-Symbol von einer HTTPS-Seite geerbt haben”, schreibt Mozilla in seinem Sicherheitshinweis.

Schließen Sie sich Experten von Digital Shadows (Austin Merritt), Malwarebytes (Adam Kujawa) und Sift (Kevin Lee) an, um herauszufinden, wie Cybercrime-Foren wirklich funktionieren. KOSTENLOS! Registrieren Sie sich, indem Sie oben klicken.

Für die Entdeckung des gefälschten Sicherheitsschloss-Symbols wird der unabhängige Forscher Jordi Chancel verantwortlich gemacht, der am 10. Dezember 2020 twitterte: “I discovered again a new SSL Spoofing Issue (and others variohttps://www.mozilla.org/en-US/security/advisories/mfsa2021-16/#CVE-2021-23998us security issues last 2 months)”. Die Schwachstelle hat einen Schweregrad von moderat, berichtet Mozilla.

Das Vorhängeschloss-Symbol des Browsers, das von allen großen Browsern verwendet wird, zeigt einen sicheren Kommunikationskanal zwischen dem Browser und dem Server, der die Website hostet, an. Es zeigt an, dass die Kommunikation mit HTTPS verschlüsselt ist und ein SSL/TLS-Zertifikat verwendet wird.

Sechs Bugs mit hohem Schweregrad

Andere Bugs, die als hochgradig gefährlich eingestuft wurden, reichen von Fehlern, die den Speicher beschädigen, bis hin zu einem, der es einer betrügerischen Website ermöglichte, ein bösartiges JavaScript außerhalb des sichtbaren Inhaltsfensters einer Webseite zu rendern.

“Durch die Verwendung von 3D-CSS in Verbindung mit Javascript hätte der Inhalt außerhalb des Ansichtsfensters der Webseite gerendert werden können, was zu einem Spoofing-Angriff geführt hätte, der für Phishing oder andere Angriffe auf einen Benutzer hätte genutzt werden können”, schrieb Mozilla über den Fehler, der als CVE-2021-23996 verfolgt wird.

Dem Fehlerjäger Irvan Kurniawan wird die Entdeckung von zwei hochgradig gefährlichen Fehlern und einem moderaten Fehler zugeschrieben, die am Montag in Firefox behoben wurden. Einer davon (CVE-2021-23995) ist ein Fehler, der als “use-after-free in responsive design mode” beschrieben wird.

“Wenn der Responsive Design Mode aktiviert war, verwendete er Referenzen auf Objekte, die zuvor freigegeben wurden. Wir vermuten, dass dies mit genügend Aufwand ausgenutzt werden konnte, um beliebigen Code auszuführen”, schrieb Mozilla. Responsive Design ist ein Begriff, der beschreibt, wie sich Webseiten automatisch an unterschiedlich große Bildschirme anpassen

Kurniawan wird auch die Entdeckung eines Use-after-free-Bugs (CVE-2021-23997) zugeschrieben, der durch die Freigabe einer webbasierten Schriftart aus dem Cache des Browsers ausgelöst werden kann. Dieser Fehler könnte, wie Kurniawans vorherige Schwachstelle, von einem Angreifer genutzt werden, um einen bestimmten Browser anzugreifen und Remote-Code auszuführen.

“Aufgrund von unerwarteten Datentypkonvertierungen konnte bei der Interaktion mit dem Font-Cache ein Use-after-free auftreten. Wir vermuten, dass dies mit genügend Aufwand zur Ausführung von beliebigem Code hätte ausgenutzt werden können”, schrieb Mozilla.

Das Mozilla-Sicherheitsbulletin geht nicht näher auf die technischen Details des Fehlers ein und gibt keine Hinweise darauf, ob eine der 13 Schwachstellen, die in dem Advisory beschrieben werden, in freier Wildbahn ausgenutzt wird. Die relativ milde Sammlung von Firefox-Fixes steht im Gegensatz zu Google und seinem Chrome-Browser, die letzte Woche eilig Patches für eine Zero-Day-Remote-Code-Execution (RCE)-Schwachstelle veröffentlichten.

Haben Sie sich jemals gefragt, was in den Untergrundforen der Cyberkriminalität vor sich geht? Finden Sie es am 21. April um 14 Uhr ET während einer KOSTENLOSEN Threatpost-Veranstaltung mit dem Titel “Underground Markets: A Tour of the Dark Economy”. Experten von Digital Shadows (Austin Merritt), Malwarebytes (Adam Kujawa) und Sift (Kevin Lee) nehmen Sie mit auf eine geführte Tour durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche aktuellen Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com