Firefox 57.0.4: Mozilla reagiert auf CPU-Schwachstellen Meltdown und Spectre
Mozilla hat vor wenigen Augenblicken Firefox 57.0.4 veröffentlicht und reagiert damit umgehend auf die beiden Sicherheits-Schwachstellen in Computer-Prozessoren, Meltdown und Spectre.
Download Mozilla Firefox 57.0.4 für Microsoft Windows, Apple macOS und Linux
Mit Meltdown und Spectre wurden zwei schwerwiegende Sicherheits-Probleme in Computer-Prozessoren bekannt. Mozilla reagiert in Form eines raschen Sicherheits-Updates für Firefox.
Während von Meltdown ausschließlich Prozessen von Intel betroffen sind, dafür allerdings fast sämtliche Modelle der letzten 20 Jahre, handelt es sich bei Spectre um ein grundsätzliches Architektur-Problem, von welchem auch AMD- und ARM-CPUs betroffen sind. Die Schwachstellen erlauben es, über speziell präparierte Webseiten sensible Informationen von anderen Webseiten oder vom Browser selbst abzugreifen. Weitere Informationen zu Meltdown und Spectre lassen sich hier nachlesen.
Es handelt sich dabei um eine neue Art von Attacken, welche die Messung präziser Zeitintervalle beinhaltet. Als kurzfristige Lösung hat Mozilla daher mit Firefox 57.0.4 die Genauigkeit von performance.now() von 5μs auf 20μs reduziert und außerdem den SharedArrayBuffer-Standard standardmäßig deaktiviert, welcher die Implementierung höherauflösender Timer erlaubt. Diese Maßnahmen sollen dazu beitragen, das Potential der Schwachstellen zu verringern. In Firefox ESR 52 ist der SharedArrayBuffer-Standard sowieso standardmäßig deaktiviert.
Mozilla betont, dass das genaue Ausmaß dieser Art von Attacke noch untersucht wird und man noch mit Sicherheitsforschern sowie den anderen Browserherstellern zusammenarbeite, um das Problem sowie mögliche Lösungen genauer zu verstehen. Dies erfordere aber Zeit. Langfristig sei es das Ziel, diese kurzfristigen Maßnahmen wieder rückgängig machen zu können, da es sich dabei um wichtige Möglichkeiten der Webplattform handele.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
1) auf dem Haupt-PC ist 57.04 schon drauf, die anderen kommen suksessive nach, wenn ich daran sitze
2) ich lasse mich weder von Meltdown noch von Spectre noch von beiden verrückt machen
Angebotene Updates werden installiert, ansonsten: abwarten, bis die Protagonisten selber wissen, was Sache ist – falls sie es dann wissen…
Angeblich, hat Google bereits Patche entwickelt welche – ohne Performance-Verlust – die Sicherheitslücke schließen. Wenn sich das bestätigt, wird es vermutlich relativ zeitnah eine dauerhafte Lösung von Mozilla & Co. geben…
Mal eine blöde Frage: Was ist aus Swipe to refresh geworden? Also ganz oben auf einer Seite noch weiter nach oben scrollen damit die Seite aktualisiert (f5) wird? Oder bin ich grad so verwirrt und das Feature gab es beim Firefox nie auf Android?
Das gab es noch nie in Firefox für Android. Vielleicht hattest du ja mal eine Erweiterung, die das bereitgestellt hat und jetzt nicht mehr funktioniert.
Ist ja schön, wenn man 57.x mit Updates versorgt aber wieso lässt man die ESR-Variante im Regen stehen?
Bitte behaupte nicht irgendeinen Quatsch, von wegen "im Regen stehen lassen". Zumal im Artikel steht, dass SharedArrayBuffers in Firefox ESR überhaupt nicht aktiviert sind und daher auch nicht per Update deaktiviert werden müssen. Damit ist das Risiko bereits um einiges geringer. Die Änderung der Präzision von performance.now() wird zudem mit dem nächsten planmäßigen Update am 23. Januar erfolgen.
Nur mal zum Vergleich: Google wird sogar für die Mainstream-Variante (!) von Chrome erst ab 23. Januar ein Update veröffentlichen. Mozilla hat die Mainstream-Version von Firefox innerhalb von weniger als 24 Stunden versorgt. Das ist eine vorbildliche Reaktionszeit und mit deinem Kommentar kritisierst du Mozilla praktisch dafür, dass sie so schnell reagiert haben, nur weil Firefox ESR ein paar Tage später dran ist (und sogar nur einen Teil des Updates benötigt) .
Übrigens: wenn es dir um maximale Sicherheit geht, musst du sowieso die Mainstream-Variante von Firefox nehmen und nicht Firefox ESR, denn in Firefox ESR werden nur Sicherheitslücken geschlossen. Aber Sicherheit hört nicht beim Schließen von Sicherheitslücken auf, wichtig ist auch die grundlegende Architektur und Firefox 57 hat einige Verbesserungen der Sicherheit, die in Firefox ESR 52 noch nicht vorhanden sein können, da sie erst in späteren Versionen erschienen sind. Die Mainstream-Version wird in Sachen Sicherheit immer der ESR-Version voraus sein. Das kann anders gar nicht sein.
Mal eine laienhafte Frage: Wenn ich das richtig verstanden habe besteht die Gefahr für den User was den Browser betrifft darin, dass Passwörter oder andere Accountdaten ausgelesen werden können. Kann das verhindert werden, indem diese nicht im Browser gespeichert werden?
Grüße
Nein. Das kann auch bei der Eingabe/Kommunikation mit der Website passieren. Es geht auch nicht nur um Passwörter sondern um alle sensiblen Daten, die der Browser behandelt. Und es kann nicht nur bei dir sondern auch beim Webserver passieren.
Grundsätzlich ist die komplette Speicherverwaltung von Software damit unsicher geworden, sprich alles was im Speicher liegt kann potentiell auch abgegriffen werden (die Timingattacken sind in der Praxis nach den ersten Browserpatches wohl aber sehr schwierig bis unmöglich geworden).
@ blub
Danke für die Ausführungen.
Die bisherigen Mitigations in Browsern scheinen leider praktisch wirkungslos zu sein:
https://gruss.cc/files/fantastictimers.pdf
In Anbetracht der Tatsache, dass diese PDF-Datei bereits im ursprünglichen Blog-Beitrag im Mozilla-Security-Blog verlinkt war, ist das natürlich keine neue Erkenntnis, die jetzt plötzlich kommt.
So häufig treibt sich der normale Nutzer auch nicht auf "bösen" Seiten herum, sodass der gefährlichste Angriffsvektor in an sich harmlose Seiten eingebettete Werbung darstellt. Die kann zwar JavaScript einbinden, aber nicht in beliebigem Umfang (zumindest nicht ohne dass das früher oder später auffällt). Insofern trägt das Blockieren der einfachen hochauflösenden Timer durchaus zur Sicherheit bei, selbst wenn es andere Methoden gibt.