1 Reaktion

Mozilla lobt hohes Preisgeld für gemeldete Sicherheitslücken in Firefox 31 aus

Geschätzte Lesedauer:

Mozilla tauscht in Firefox 31 die Bibliothek zur Zertifikatsverifizierung aus. Da es sich dabei um eine sehr sicherheitsrelevante Komponente handelt, belohnt Mozilla rechtzeitig gemeldete Sicherheitslücken in der neuen Zertifikatsverifizierung deutlich höher als üblich.

Mozilla wird Firefox 31 mit einer neuen Bibliothek zur Zertifikatsverifizierung ausliefern, mozilla::pkix. Für Nutzer sollte dies keinen Unterschied machen, die neue Bibliothek soll aber robuster und besser wartbar sein als die alte. Besser wartbar vor allem, weil die neue Bibliothek aus nur noch 4.167 Zeilen C++-Code besteht. Zum Vergleich: Die alte Verifikationsbibliothek aus Mozilla NSS (Network Security Services) wurde automatisch von Java nach C übersetzt und bestand aus 81.865 Zeilen Code. Durch die Umstellung auf C++ profitiert die neue Bibliothek unter anderem von C++-Funktionalitäten wie RAII.

In diesem Zusammenhang hat Mozilla auch die Richtlinien für Certificate Authorities verschärft, wodurch es unter Umständen dazu kommen kann, dass Zertifikate als ungültig eingestuft werden, welche bislang gültig waren. In diesem Fall bittet Mozilla darum, dies im dazugehörigen Newsgroup-Eintrag zu melden.

Nachdem erst kürzlich durch Heartbleed einmal mehr gezeigt worden ist, wie wichtig korrekter Code in sicherheitsrelevanten Bibliotheken ist und weil Mozilla sichergehen möchte, dass die neue Bibliothek genauso sicher ist wie die alte Bibliothek, lobt Mozilla eine Belohnung in Höhe von 10.000 Dollar für gemeldete Sicherheitslücken aus, welche bis spätestens 30. Juni gemeldet werden und die neue Bibliothek betreffen. Üblicherweise werden gemeldete Sicherheitslücken von Mozilla mit 3.000 Dollar belohnt. Weitere Details zu den Teilnahmeberechtigungen finden sich in Mozillas Security-Blog.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen