Browser : Firefox 37.0.1 schaltet HTTP/2 AltSvc wieder ab

, 20 Kommentare
Browser: Firefox 37.0.1 schaltet HTTP/2 AltSvc wieder ab
Bild: Mozilla

Die von Mozilla zeitnah zu Firefox 37 veröffentlichte Bugfix-Version 37.0.1 behebt eine Absturzursache und schließt zwei Sicherheitslücken. Dabei handelt es sich um eine Lücke in der mit Firefox 37 eingeführten opportunistischen Verschlüsselung für HTTP/2.

Opportunistic Encryption (OE) für HTTP/2 ist eine der Neuerungen, die vor einer Woche mit Firefox 37 ausgeliefert wurden. OE erlaubt dem Browser, Inhalte, die ansonsten unverschlüsselt übertragen würden, zu verschlüsseln. Vor wenigen Tagen hat der Sicherheitsforscher Muneaki Nishimura eine Lücke in der Implementierung dieser Funktion entdeckt, die jetzt in Firefox 37.0.1 zur vorläufigen Deaktivierung der Funktion führte.

OE kann mittels eines AltSvc-Headers aus den Mozilla Alternative Services auch ansonsten unverschlüsselt übertragene Inhalte von HTTPS-Seiten unter Umgehung der SSL-Zertifikate verschlüsseln. Dabei werden aber ungültige Zertifikate nicht angezeigt und könnten es einem Angreifer erlauben, mit einem Man-in-the-Middle-Angriff ein gefälschtes Zertifikat einzuschmuggeln.

Eine weitere geschlossene Lücke betrifft die Android-Version des Browsers. Sie befindet sich im Reader Mode, der versucht, nicht an Mobilgeräte angepasste Webseiten trotzdem dem Medium entsprechend optimiert darzustellen, indem er unwichtige Informationen von der Darstellung ausschließt. Dabei können privilegierte URLs an den Reader Mode weitergereicht werden und umgehen damit Restriktionen, die normalerweise verhindern, dass Webseiten Referenzen zu privilegierten Inhalten erreichen. Zusammen mit einer weiteren Lücke könnte dies die Ausführung von Schadcode ermöglichen.

Über die Einführung der Alternative Services und von OE hat es in der HTTP/2 Working Group viel Diskussion (PDF) gegeben. Zu den unbestreitbaren Vorteilen gehört, dass verschlüsselte Übertragung besser ist als Klartext. Die Gegner des Entwurfs argumentieren, viele Anbieter, die noch unverschlüsseltes HTTP verwenden, würden OE als ausreichend erachten und ihre Anstrengungen bezüglich HTTPS aufgeben.

Firefox 37.0.1 behebt zudem eine mögliche Absturzursache beim Start des Browsers im Zusammenhang mit Drittsoftware zur Manipulation von Windows-Themes.

Downloads

  • Mozilla Firefox

    4,5 Sterne

    Quelloffener Browser der gemeinnützigen Mozilla Foundation, zahlreiche Erweiterungen verfügbar.

    • Version 50.0.2 Deutsch
    • Version 51.0 Beta 6 Deutsch
    • +2 weitere