ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Browser: Firefox 37.0.1 schaltet HTTP/2 AltSvc wieder ab

Ferdinand Thommes
20 Kommentare
Browser: Firefox 37.0.1 schaltet HTTP/2 AltSvc wieder ab
Bild: Mozilla

Die von Mozilla zeitnah zu Firefox 37 veröffentlichte Bugfix-Version 37.0.1 behebt eine Absturzursache und schließt zwei Sicherheitslücken. Dabei handelt es sich um eine Lücke in der mit Firefox 37 eingeführten opportunistischen Verschlüsselung für HTTP/2.

Opportunistic Encryption (OE) für HTTP/2 ist eine der Neuerungen, die vor einer Woche mit Firefox 37 ausgeliefert wurden. OE erlaubt dem Browser, Inhalte, die ansonsten unverschlüsselt übertragen würden, zu verschlüsseln. Vor wenigen Tagen hat der Sicherheitsforscher Muneaki Nishimura eine Lücke in der Implementierung dieser Funktion entdeckt, die jetzt in Firefox 37.0.1 zur vorläufigen Deaktivierung der Funktion führte.

OE kann mittels eines AltSvc-Headers aus den Mozilla Alternative Services auch ansonsten unverschlüsselt übertragene Inhalte von HTTPS-Seiten unter Umgehung der SSL-Zertifikate verschlüsseln. Dabei werden aber ungültige Zertifikate nicht angezeigt und könnten es einem Angreifer erlauben, mit einem Man-in-the-Middle-Angriff ein gefälschtes Zertifikat einzuschmuggeln.

Eine weitere geschlossene Lücke betrifft die Android-Version des Browsers. Sie befindet sich im Reader Mode, der versucht, nicht an Mobilgeräte angepasste Webseiten trotzdem dem Medium entsprechend optimiert darzustellen, indem er unwichtige Informationen von der Darstellung ausschließt. Dabei können privilegierte URLs an den Reader Mode weitergereicht werden und umgehen damit Restriktionen, die normalerweise verhindern, dass Webseiten Referenzen zu privilegierten Inhalten erreichen. Zusammen mit einer weiteren Lücke könnte dies die Ausführung von Schadcode ermöglichen.

Über die Einführung der Alternative Services und von OE hat es in der HTTP/2 Working Group viel Diskussion (PDF) gegeben. Zu den unbestreitbaren Vorteilen gehört, dass verschlüsselte Übertragung besser ist als Klartext. Die Gegner des Entwurfs argumentieren, viele Anbieter, die noch unverschlüsseltes HTTP verwenden, würden OE als ausreichend erachten und ihre Anstrengungen bezüglich HTTPS aufgeben.

Firefox 37.0.1 behebt zudem eine mögliche Absturzursache beim Start des Browsers im Zusammenhang mit Drittsoftware zur Manipulation von Windows-Themes.

Downloads

  • Mozilla Firefox Download

    4,7 Sterne

    Firefox ist ein freier Browser der gemeinnützigen Mozilla Foundation mit vielen Erweiterungen.

    • Version 125.0.2 Deutsch
    • Version 126.0 Beta 4 Deutsch
    • Version 115.10.0 ESR Deutsch
25 Jahre ComputerBase!
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz