Firefox-Extensions mit Sicherheistlücke beim Update

Der Informatikstudent Christopher Soghoian von der Universität von Indiana warnt vor einer Sicherheitslücke im Zusammenhang mit Firefox-Erweiterungen, die nicht von der Mozilla-Download-Seite heruntergeladen werden.

Werden Firefox-Extensions nicht von der SSL-gesicherten Mozilla Add-Ons-Seite heruntergeladen, kann ein potentieller Angreifer über das Verbindungsnetz die Verbindung derart umleiten, dass eine schadhafte Software im Browser des Nutzers installiert wird und erhebliche Schäden auf dem Rechner des Anwenders anrichtet. Dieses Risiko besteht ebenfalls beim Update der Firefox-Extensions, das nicht über SSL-Verbindungen stattfindet. Zu den möglichen Gefahren zählen laut Soghoian Hijacking des befallenen Rechners mit anschliessendem Ausspionieren von sicherheitsrelevanten Daten wie Passwörter, Bankdaten, etc.

Der Student rät dazu, sicherheitshalber alle Firefox-Extensions zu deaktivieren und zu entfernen und sämtliche benötigte Erweiterungen für den Firefox-Browser über die SSL-gesicherte Mozilla Add-Ons-Webseite erneut herunter zu laden und anschliessend neu zu installieren. Dadurch wird bei anstehenden Updates eine SSL-Verbindung hergestellt, so wird eine durch den Nutzer unbemerkte Umleitung durch potentielle Angreifer unmöglich gemacht. Soghoian bietet sogar ein Demo-Video (Download 12 MB, Quicktime), das die Sicherheitslücke anhand eines Updates des Google-Browsers veranschaulicht.