Pwn2Own 2017: Mozilla veröffentlicht schnelles Update auf Firefox 52.0.1
Wieder einmal hat der jährlich stattfindende Pwn2Own-Wettbewerb Sicherheitslücken in diversen Browsern, Browser-Plugins und Betriebssystemen offengelegt. Mozilla hat wie immer zügig reagiert und ein umgehendes Sicherheitsupdate auf Firefox 52.0.1 veröffentlicht.
Wie jedes Jahr fand auch in diesem Jahr auf der CanSecWest Sicherheitskonferenz wieder der Pwn2Own-Wettbewerb statt, ein Wettbewerb, bei dem es darum geht, Sicherheitslücken in Browsern, Browser-Plugins und Betriebssystemen zu finden.
Auch dieses Jahr konnten wieder zahlreiche Sicherheitslücken im Rahmen von Pwn2Own demonstriert werden. Dies schließt die Betriebssysteme Windows, macOS und Linux ein, Browser Plugins wie den Adobe Reader oder den Adobe Flash Player und natürlich diverse Browser. Auch Firefox konnte einmal erfolgreich überwunden werden. Mozilla stuft die Sicherheitslücke als kritisch ein, allerdings benötigt es noch eine zweite Sicherheitslücke, damit diese ausgenutzt werden kann. Mozilla hat, wie im Vorfeld von Pwn2Own bereits geplant, umgehend nach Bekanntwerden das Problem behoben und mit Firefox 52.0.1 ein Sicherheits-Update veröffentlicht.
Firefox 52.0.1 steht bereits zum Download zur Verfügung.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
Eine Erwähnung, dass Firefox dieses Jahr wieder bei Pwn2Own dabei ist, nachdem es letztes Jahr aufgrund von mangelnden Innovationen/Weiterentwicklungen im Bereich Sicherheit gefehlt hatte, fehlt im Artikel noch.
Insgesamt halte ich das Sicherheitsmodell von Firefox für veraltet, die Trennung von weiteren Prozessen (e10s-multi) und das Sandboxing dieser Prozesse kann gar nicht schnell genug kommen. Soweit ich weiß, wurde Chrome als einziger Browser bei Pwn2Own noch nicht geknackt. Das stimmt immerhin insofern positiv, als dass Firefox ja bei Einführung der Sandbox auf die Chromium-Sandbox setzen wird, die somit recht gut zu funktionieren scheint.
Fazit: Das Google Chrome-Team konnte bei seiner Entwicklung auf den Erfahrungen von Firefox und anderen Browsern aufbauen und so gewisse Fehler vermeiden. Die daraus entstehende deutlich sicherere und stabilere Browser-Architektur mit mehreren gesandboxten Prozessen (die natürlich dann auch mehr RAM verschlingt) muss Firefox jetzt Schritt für Schritt nachbauen, wo Chrome von Anfang an drauf setzen konnte. Wir haben ja mit der Entwicklung von e10s gesehen, wie aufwändig ein solcher Übergang ist. Ich hoffe, das meiste ist bis Ende dieses Jahres abgeschlossen. Dann kann Firefox hoffentlich endlich wieder in der Königsklasse der Browser mitspielen, was Sicherheit, Performance und Stabilität betrifft.
Ist in Firefox 53 Beta 4 auch dieser Fix enthalten oder warum kam die so schnell nach Beta 3?
Ich finde es gut, dass Mozilla die Sicherheitslücken sofort gestopft hat. Ich nutze zwar den Firefox nicht mehr, aber trotzdem kann sich der eine oder andere Hersteller eine Scheibe davon abschneiden. Gute Arbeit!
Schön das es nur eine war.
@Daniel:
Die Erwähnung fehlt deswegen nicht, weil ich sie für irrelevant halte. Für die Schließung der Sicherheitslücke in Firefox 52.0.1 ist nicht wichtig, ob Firefox vor einem Jahr Teilnehmer dieses Wettbewerbs war. Zumal es im Bereich Sicherheit überhaupt nicht auf Innovationen ankommt, sondern auf Wirksamkeit. Und die Begründung der Veranstalter im letzten Jahr war durchaus fragwürdig. Offizieller Grund war, dass es angeblich keine ernsthaften Verbesserungen im Bereich Sicherheit gab. Verbesserungen im Bereich Sicherheit gab es aber. Und wohl kaum weniger als beim Internet Explorer. Also das ist nicht sehr glaubwürdig als Begründung. Ich würde nicht ausschließen, dass zum Ausschluss auch beigetragen hatte, dass es kurz vorher seitens Mozilla Kritik an diesem Wettbewerb gab, weil dieser Wettbewerb die Schließung von Sicherheitslücken verzögert, da die Meldungen verzögert werden.
Diese Pauschalaussage funktioniert nicht. Es gibt nicht "das Sicherheitsmodell". Die Sicherheit eines Browsers setzt sich aus zahlreichen Sicherheitskomponenten zusammen. Und auch, wenn Firefox noch ein paar Dinge fehlen, wie ein umfassendes Sandboxing, so hat Firefox dafür andere Innovationen im Bereich Sicherheit, um deine Wortwahl aufzugreifen, die andere Browser nicht haben. Deswegen kann man nicht sagen, das Sicherheitsmodell von Firefox sei im Ganzen gut oder schlecht.
Ich stimme zu, dass das Sandboxing gerne schnell kommen darf. Allerdings ist das Sandboxing auch nur ein Teil des Sicherheitskonzeptes, Schwachstellen kann es noch an einigen anderen Stellen geben. 😉
Für Chrome war ja vorab auch ein Angriff angekündigt. Dieser konnte nur nicht in der erlaubten Zeit durchgeführt werden. Wir werden vermutlich nie erfahren, ob der Angriff mit etwas mehr Zeit erfolgreich gewesen wäre, oder ob Google tatsächlich noch vorher das Problem selbst entdeckt und gelöst hat.
@blub:
Ja, der Sicherheits-Fix war in der Beta 4 bereits enthalten.
Laut dem Wikipedia-Artikel "Pwn2Own" wurde Google Chrome in der Vergangenheit schon mehrmals erfolgreich angegriffen.