Mozilla veröffentlicht Firefox 43.0.4
Mit der Veröffentlichung von Firefox 43.0.4 behebt Mozilla diverse Probleme. Unter anderem erlaubt Mozilla mit dem Update temporär wieder SHA-1-Zertifikate. Außerdem wird ein zweites Hotfix-Add-on für Firefox 43 verteilt, welches den in Firefox 43.0.3 eingeführten YouTube-Workaround rückgängig macht.
Firefox 43.0.4
Nachdem das Update auf Firefox 43.0.3 die letzten Tage auf Grund des G Data-Problems deaktiviert war, hat Mozilla nun Firefox 43.0.4 veröffentlicht und die Updates wieder aktiviert. Mit Firefox 43.0.4 sollten die Abstürze auch unabhängig von den Signatur-Updates für die Software von G Data nicht mehr auftreten.
Seit dem 1. Januar 2016 akzeptierte Firefox 43 keine SHA-1-Zertifikate mehr, wenn diese nach dem 1. Januar 2016 ausgestellt worden sind. Normalerweise sollte dies kein all zu großes Problem sein, doch führte dies dazu, dass einige Nutzer seit dem überhaupt keine Seiten mehr über HTTPS aufrufen konnten. Schuld hieran konnten beispielsweise Schadsoftware oder auch sogenannte „Sicherheitssoftware“ sein, welche in allerbester Schadsoftware-Manier in den HTTPS-Verkehr eingreift, wie es leider mittlerweile üblich zu sein scheint. Wird hierfür ein SHA-1-Zertifikat verwendet (die Ironie ist unverkennbar, wenn „Sicherheitssoftware“ dafür das unsichere SHA-1 verwendet), legte dies den kompletten HTTPS-Verkehr lahm. In Firefox 43.0.4 hat Mozilla nun die SHA-1-Unterstützung temporär wieder aktiviert, bis man ein genaueres Bild darüber hat, wie viele Nutzer davon betroffen sind.
Darüber hinaus behebt das Update noch ein Linux-spezifisches Problem in Mehr-Nutzer-Umgebungen, wo unter Umständen das temporäre Downloadverzeichnis nicht korrekt angelegt werden konnte.
Zweites Hotfix-Add-on für Firefox 43
Firefox 43.0.3 hat an YouTube einen manipulierten User-Agent ausgeliefert, damit sich Firefox 43 auf YouTube als Firefox 42 ausgibt. Grund hierfür waren Änderungen auf YouTube, welche dafür sorgten, dass ein Teil der Firefox-Nutzer nur noch Videos niedriger Qualität erhielt, und Google nicht interessiert war, das Problem zeitnah zu beheben. Da dieser Workaround nicht länger notwendig ist, deaktiviert Mozilla diesen per Hotfix-Add-on.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
Deswegen heißt es Sicherheitssoftware. Du kannst dir sicher sein, dass was in die Hose geht… 😉
Spaß beiseite…
In der heutigen Zeit, wo neben Phishing vor allem Ransomware und DDoS die zentralen Probleme darstellen, muss Sicherheit sowieso neu gedacht werden. Ich bin immer wieder erstaunt darüber, was die Sicherheitshersteller mittlerweile für Käse auffahren inkl. dieser klassischen MITM-Angriffe, um den verschlüsselten Traffic mitlesen zu können, weswegen ich dankenswerterweise dann nichtmal mehr den richtigen Anbieter angezeigt bekomme, der ein entsprechendes Zertifikat ausgestellt hat. Dazu halten sie sich oft nicht an die Sicherheitsvorgaben, die Windows macht (bzw. nutzen Technologien wie ASLR nicht konsequent), reißen vll. selber neue Lücken ins Setup oder kommen auf ach so glohrreiche Ideen wie AVG letztens bei Google Chrome. Da stellt sich mir die Frage, was fürn Sinn solche Programme überhaupt noch haben, zumal die Soforterkennung neuer Malware für die Tonne ist.
Hieß für mich, dass ich mit dem Umstieg auf Windows 10 externe Sicherheitssuiten verbannt habe. Sich nur auf Windows Defender und die Sicherheitsmechanismen von Windows zu verlassen, klingt zwar im ersten Moment wie ne Schnapsidee, aber auf der anderen Seite bin ich der Meinung, mit klassischer Handarbeit erreiche ich da mittlerweile mehr…
– Unsichere Komponenten wie WinPcap und das Java-Browserplugin entsorgen
– Abhängigkeit von Plugins deutlich reduzieren, wenn möglich, Webstandards oder interne Funktionen der Software nutzen
– Zahl der Addons möglichst gering halten
– Sicherheitsmöglichkeiten jeweiliger Software konsequent nutzen
– Downloads von Drittplattformen (auch bei OSS, die z.B: auf SF gehostet wird) einstellen
– regelmäßige Backups
– etc.
Damit erreicht man heutzutage auch ne Menge, wenn nicht sogar mehr.
Ich will jetzt nicht mit Verschwörungstheorien anfangen, aber ich könnte… 😉
Sehe ich genauso. Ein gutes Sicherheitskonzept ist mehr wert als jede Sicherheitssoftware. Solche Software hat grundsätzlich ja schon ihre Daseinsberechtigung, nur machen die bekannten Anbieter ja fast durch die Bank weg nur noch Negativ-Schlagzeilen, so dass hier das Vertrauen komplett fehlt. Und der verwendeten Sicherheitslösung nicht zu vertrauen kann keine Basis für Sicherheit sein.
Es gibt aber ein paar Basics, an die man sich halten sollte: Software nach Möglichkeit vom Hersteller herunterladen (ich gehe jetzt nicht auf Linux Paketverwaltungen ein, das ist für die Mehrheit nicht relevant), Software immer aktuell haben, nicht benötigte Software gar nicht erst installiert lassen, nicht alles blind anklicken und nicht durchgehend mit Administratorrechten aktiv sein, der Hinweis gilt besonders für Windows-Nutzer, wo es mir ein Quasi-Standard zu sein scheint, dass jeder als Administrator im Web surft. Diese Liste an Tipps kann man natürlich noch erweitern, es sind nur ein paar Ansätze, die mir spontan einfallen.
Ich find's immer schlimm, wenn manche Sicherheitssoftware verwenden, nach Möglichkeit sogar dafür bezahlen, aber solche Basics nicht einhalten und noch Windows XP und/oder eine Uralt-Version von Firefox nutzen. Keine Software kann dieses Versäumnis kompensieren. Das begreifen leider viele nicht.
Kann man das Verhalten bzgl. SHA-1 mit irgendwelchen config-Variablen oder ähnlich wieder auf das Verhalten von 43.0.3 zurücksetzen? Ich hatte damit keine Probleme.
Kann man herausfinden welche "Sicherheits"lösungen noch auf SHA-1 setzen?
Zumindest in der Blog-Meldung wird dieser Schalter erwähnt: security.pki.sha1_enforcement_level
In FF 43.0.3 ist dieser bei mir auf "2" gesetzt.
Mir fällt keine andere Möglichkeit als Probieren ein, was funktioniert und was nicht.
Danke, das probiere ich mal aus.
Update: Mozilla wird für Firefox 43 noch ein drittes Hotfix-Add-on ausliefern, welches den SafeBrowsing-Schutz wieder aktiviert. Dieser wurde in Firefox 43 versehentlich deaktiviert.
Als Hinweis: security.pki.sha1_enforcement_level kann man wohl auch auf "1" setzen um alle SHA-1-Zertifikate zu verbieten:
Quelle: http://m.heise.de/forum/heise-Security/News-Kommentare/Firefox-Mozilla-schaltet-SHA-1-ab-und-direkt-wieder-an/Re-security-pki-sha1-enforcement-level/posting-24091079/show/
Testen kann man dies dann z.B. hier: https://sha1-2017.badssl.com/
Ich würde allerdings erst einmal den Wert 2 verwenden, weil das der vorgesehene Ablauf war. Das komplette Verbieten war ursprünglich für 2017 vorgesehen, Mozilla wollte es aber ein halbes Jahr vorziehen, also Juli 2016.