11 Reaktionen

Firefox 57.0.4: Mozilla reagiert auf CPU-Schwachstellen Meltdown und Spectre

Geschätzte Lesedauer:

Mozilla hat vor wenigen Augenblicken Firefox 57.0.4 veröffentlicht und reagiert damit umgehend auf die beiden Sicherheits-Schwachstellen in Computer-Prozessoren, Meltdown und Spectre.

Download Mozilla Firefox 57.0.4 für Microsoft Windows, Apple macOS und Linux

Mit Meltdown und Spectre wurden zwei schwerwiegende Sicherheits-Probleme in Computer-Prozessoren bekannt. Mozilla reagiert in Form eines raschen Sicherheits-Updates für Firefox.

Während von Meltdown ausschließlich Prozessen von Intel betroffen sind, dafür allerdings fast sämtliche Modelle der letzten 20 Jahre, handelt es sich bei Spectre um ein grundsätzliches Architektur-Problem, von welchem auch AMD- und ARM-CPUs betroffen sind. Die Schwachstellen erlauben es, über speziell präparierte Webseiten sensible Informationen von anderen Webseiten oder vom Browser selbst abzugreifen. Weitere Informationen zu Meltdown und Spectre lassen sich hier nachlesen.

Es handelt sich dabei um eine neue Art von Attacken, welche die Messung präziser Zeitintervalle beinhaltet. Als kurzfristige Lösung hat Mozilla daher mit Firefox 57.0.4 die Genauigkeit von performance.now() von 5μs auf 20μs reduziert und außerdem den SharedArrayBuffer-Standard standardmäßig deaktiviert, welcher die Implementierung höherauflösender Timer erlaubt. Diese Maßnahmen sollen dazu beitragen, das Potential der Schwachstellen zu verringern. In Firefox ESR 52 ist der SharedArrayBuffer-Standard sowieso standardmäßig deaktiviert.

Mozilla betont, dass das genaue Ausmaß dieser Art von Attacke noch untersucht wird und man noch mit Sicherheitsforschern sowie den anderen Browserherstellern zusammenarbeite, um das Problem sowie mögliche Lösungen genauer zu verstehen. Dies erfordere aber Zeit. Langfristig sei es das Ziel, diese kurzfristigen Maßnahmen wieder rückgängig machen zu können, da es sich dabei um wichtige Möglichkeiten der Webplattform handele.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

11 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Herr Hugo
    schrieb am :

    1) auf dem Haupt-PC ist 57.04 schon drauf, die anderen kommen suksessive nach, wenn ich daran sitze

    2) ich lasse mich weder von Meltdown noch von Spectre noch von beiden verrückt machen

    Angebotene Updates werden installiert, ansonsten: abwarten, bis die Protagonisten selber wissen, was Sache ist – falls sie es dann wissen…

  2. ICKE
    schrieb am :

    Angeblich, hat Google bereits Patche entwickelt welche – ohne Performance-Verlust – die Sicherheitslücke schließen. Wenn sich das bestätigt, wird es vermutlich relativ zeitnah eine dauerhafte Lösung von Mozilla & Co. geben…

  3. sav
    schrieb am :

    Mal eine blöde Frage: Was ist aus Swipe to refresh geworden? Also ganz oben auf einer Seite noch weiter nach oben scrollen damit die Seite aktualisiert (f5) wird? Oder bin ich grad so verwirrt und das Feature gab es beim Firefox nie auf Android?

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das gab es noch nie in Firefox für Android. Vielleicht hattest du ja mal eine Erweiterung, die das bereitgestellt hat und jetzt nicht mehr funktioniert.

  5. M. Gruber
    schrieb am :

    Ist ja schön, wenn man 57.x mit Updates versorgt aber wieso lässt man die ESR-Variante im Regen stehen?

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Bitte behaupte nicht irgendeinen Quatsch, von wegen "im Regen stehen lassen". Zumal im Artikel steht, dass SharedArrayBuffers in Firefox ESR überhaupt nicht aktiviert sind und daher auch nicht per Update deaktiviert werden müssen. Damit ist das Risiko bereits um einiges geringer. Die Änderung der Präzision von performance.now() wird zudem mit dem nächsten planmäßigen Update am 23. Januar erfolgen.

    Nur mal zum Vergleich: Google wird sogar für die Mainstream-Variante (!) von Chrome erst ab 23. Januar ein Update veröffentlichen. Mozilla hat die Mainstream-Version von Firefox innerhalb von weniger als 24 Stunden versorgt. Das ist eine vorbildliche Reaktionszeit und mit deinem Kommentar kritisierst du Mozilla praktisch dafür, dass sie so schnell reagiert haben, nur weil Firefox ESR ein paar Tage später dran ist (und sogar nur einen Teil des Updates benötigt) .

    Übrigens: wenn es dir um maximale Sicherheit geht, musst du sowieso die Mainstream-Variante von Firefox nehmen und nicht Firefox ESR, denn in Firefox ESR werden nur Sicherheitslücken geschlossen. Aber Sicherheit hört nicht beim Schließen von Sicherheitslücken auf, wichtig ist auch die grundlegende Architektur und Firefox 57 hat einige Verbesserungen der Sicherheit, die in Firefox ESR 52 noch nicht vorhanden sein können, da sie erst in späteren Versionen erschienen sind. Die Mainstream-Version wird in Sachen Sicherheit immer der ESR-Version voraus sein. Das kann anders gar nicht sein.

  7. Nobody
    schrieb am :

    Mal eine laienhafte Frage: Wenn ich das richtig verstanden habe besteht die Gefahr für den User was den Browser betrifft darin, dass Passwörter oder andere Accountdaten ausgelesen werden können. Kann das verhindert werden, indem diese nicht im Browser gespeichert werden?
    Grüße

  8. blub
    schrieb am :

    Nein. Das kann auch bei der Eingabe/Kommunikation mit der Website passieren. Es geht auch nicht nur um Passwörter sondern um alle sensiblen Daten, die der Browser behandelt. Und es kann nicht nur bei dir sondern auch beim Webserver passieren.

    Grundsätzlich ist die komplette Speicherverwaltung von Software damit unsicher geworden, sprich alles was im Speicher liegt kann potentiell auch abgegriffen werden (die Timingattacken sind in der Praxis nach den ersten Browserpatches wohl aber sehr schwierig bis unmöglich geworden).

  9. Nobody
    schrieb am :

    @ blub
    Danke für die Ausführungen.

  10. blub
    schrieb am :

    Die bisherigen Mitigations in Browsern scheinen leider praktisch wirkungslos zu sein:

    Research showed that microarchitectural attacks like cache attacks can be performed through websites using JavaScript. These timing attacks allow an adversary to spy on users secrets such as their keystrokes, leveraging fine-grained timers. However, theWCandbrowser vendors responded to this significant threat by eliminating fine-grained timers from JavaScript. This renders previous high-resolution microarchitectural attacks non-applicable. We demonstrate the inecacy of this mitigation by finding and evaluating a wide range of new sources of timing information. We develop measurement methods that exceed the resolution of ocial timing sources by to orders of magnitude on all major browsers, and even more on Tor browser. Our timing measurements do not only re-enable previous attacks to their full extent but also allow implementing new attacks. We demonstrate a new DRAM-based covert channel between a website and an unprivileged app in a virtual machine without network hardware. Our results emphasize that quick-fix mitigations can establish a dangerous false sense of security.

    https://gruss.cc/files/fantastictimers.pdf

  11. Michael M.
    schrieb am :

    In Anbetracht der Tatsache, dass diese PDF-Datei bereits im ursprünglichen Blog-Beitrag im Mozilla-Security-Blog verlinkt war, ist das natürlich keine neue Erkenntnis, die jetzt plötzlich kommt.

    So häufig treibt sich der normale Nutzer auch nicht auf "bösen" Seiten herum, sodass der gefährlichste Angriffsvektor in an sich harmlose Seiten eingebettete Werbung darstellt. Die kann zwar JavaScript einbinden, aber nicht in beliebigem Umfang (zumindest nicht ohne dass das früher oder später auffällt). Insofern trägt das Blockieren der einfachen hochauflösenden Timer durchaus zur Sicherheit bei, selbst wenn es andere Methoden gibt.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.