Mozilla lobt hohes Preisgeld für gemeldete Sicherheitslücken in Firefox 31 aus

Mozilla tauscht in Firefox 31 die Bibliothek zur Zertifikatsverifizierung aus. Da es sich dabei um eine sehr sicherheitsrelevante Komponente handelt, belohnt Mozilla rechtzeitig gemeldete Sicherheitslücken in der neuen Zertifikatsverifizierung deutlich höher als üblich.

Mozilla wird Firefox 31 mit einer neuen Bibliothek zur Zertifikatsverifizierung ausliefern, mozilla::pkix. Für Nutzer sollte dies keinen Unterschied machen, die neue Bibliothek soll aber robuster und besser wartbar sein als die alte. Besser wartbar vor allem, weil die neue Bibliothek aus nur noch 4.167 Zeilen C++-Code besteht. Zum Vergleich: Die alte Verifikationsbibliothek aus Mozilla NSS (Network Security Services) wurde automatisch von Java nach C übersetzt und bestand aus 81.865 Zeilen Code. Durch die Umstellung auf C++ profitiert die neue Bibliothek unter anderem von C++-Funktionalitäten wie RAII.

In diesem Zusammenhang hat Mozilla auch die Richtlinien für Certificate Authorities verschärft, wodurch es unter Umständen dazu kommen kann, dass Zertifikate als ungültig eingestuft werden, welche bislang gültig waren. In diesem Fall bittet Mozilla darum, dies im dazugehörigen Newsgroup-Eintrag zu melden.

Nachdem erst kürzlich durch Heartbleed einmal mehr gezeigt worden ist, wie wichtig korrekter Code in sicherheitsrelevanten Bibliotheken ist und weil Mozilla sichergehen möchte, dass die neue Bibliothek genauso sicher ist wie die alte Bibliothek, lobt Mozilla eine Belohnung in Höhe von 10.000 Dollar für gemeldete Sicherheitslücken aus, welche bis spätestens 30. Juni gemeldet werden und die neue Bibliothek betreffen. Üblicherweise werden gemeldete Sicherheitslücken von Mozilla mit 3.000 Dollar belohnt. Weitere Details zu den Teilnahmeberechtigungen finden sich in Mozillas Security-Blog.