Mozilla lobt hohes Preisgeld für gemeldete Sicherheitslücken in Firefox 31 aus
Mozilla tauscht in Firefox 31 die Bibliothek zur Zertifikatsverifizierung aus. Da es sich dabei um eine sehr sicherheitsrelevante Komponente handelt, belohnt Mozilla rechtzeitig gemeldete Sicherheitslücken in der neuen Zertifikatsverifizierung deutlich höher als üblich.
Mozilla wird Firefox 31 mit einer neuen Bibliothek zur Zertifikatsverifizierung ausliefern, mozilla::pkix. Für Nutzer sollte dies keinen Unterschied machen, die neue Bibliothek soll aber robuster und besser wartbar sein als die alte. Besser wartbar vor allem, weil die neue Bibliothek aus nur noch 4.167 Zeilen C++-Code besteht. Zum Vergleich: Die alte Verifikationsbibliothek aus Mozilla NSS (Network Security Services) wurde automatisch von Java nach C übersetzt und bestand aus 81.865 Zeilen Code. Durch die Umstellung auf C++ profitiert die neue Bibliothek unter anderem von C++-Funktionalitäten wie RAII.
In diesem Zusammenhang hat Mozilla auch die Richtlinien für Certificate Authorities verschärft, wodurch es unter Umständen dazu kommen kann, dass Zertifikate als ungültig eingestuft werden, welche bislang gültig waren. In diesem Fall bittet Mozilla darum, dies im dazugehörigen Newsgroup-Eintrag zu melden.
Nachdem erst kürzlich durch Heartbleed einmal mehr gezeigt worden ist, wie wichtig korrekter Code in sicherheitsrelevanten Bibliotheken ist und weil Mozilla sichergehen möchte, dass die neue Bibliothek genauso sicher ist wie die alte Bibliothek, lobt Mozilla eine Belohnung in Höhe von 10.000 Dollar für gemeldete Sicherheitslücken aus, welche bis spätestens 30. Juni gemeldet werden und die neue Bibliothek betreffen. Üblicherweise werden gemeldete Sicherheitslücken von Mozilla mit 3.000 Dollar belohnt. Weitere Details zu den Teilnahmeberechtigungen finden sich in Mozillas Security-Blog.
Weitere aktuelle Artikel aus der Kategorie „Firefox“
- 27.12.2024Highlights des Mozilla AMA November 2024
- 26.12.2024Firefox: Release-Termine 2025
- 19.12.2024Mozilla erweitert Suchmaschinen-Partnerschaft mit Ecosia
- 10.12.2024Mozilla veröffentlicht Firefox 133.0.3
- 27.11.2024Mozilla veröffentlicht Firefox 133
Füge diese URL in deine WordPress-Website ein, um sie einzubetten
Füge diesen Code in deine Website ein, um ihn einzubinden