Mozilla verhelpt kwetsbaarheden in Firefox-updatesysteem

[captain kirk]

Mozilla heeft naar aanleiding van een beveiligingsaudit die door een externe partij is uitgevoerd verschillende kwetsbaarheden in het Firefox-updatesysteem verholpen. Het updatesysteem speelt een belangrijke rol in het voorkomen dat gebruikers gemanipuleerde software ontvangen.

De beveiligingsaudit vond eerder dit jaar plaats en werd door vier onderzoekers van het Duitse securitybedrijf X41 D-SEC gedurende een periode van 27 dagen uitgevoerd. De back-endservice die de updates regelt (Balrog) en de clientcode die de browser updatet werden bekeken. Het ging onder andere om een cryptografische review van het protocol dat voor het signeren van de updates wordt gebruikt en een handmatige codecontrole van alle onderdelen.

De onderzoekers vonden geen ernstige kwetsbaarheden. Wel werden verschillende andere beveiligingslekken ontdekt die van "low" tot "high" werden beoordeeld. Het ergste beveiligingslek betrof een Cross-Site Request Forgery (CSRF)-kwetsbaarheid in de interface van de beheerdersapplicatie. Hiermee had een aanvaller in bepaalde gevallen onbedoelde beheerdersacties kunnen uitvoeren.

Drie kwetsbaarheden die als "high" waren beoordeeld bevonden zich in de beheerdersconsole van Balrog. Om toegang tot dit systeem te krijgen, dat zich binnen het interne netwerk van Mozilla bevindt, moeten gebruikers zich meerdere keren authenticeren. Deze extra beveiligingslagen verkleinen het risico van de gevonden kwetsbaarheden, aldus Mozilla.

De andere problemen waren minder ernstig van aard en vereisten dat een aanvaller de cryptografische handtekening kon omzeilen. Alle gevonden kwetsbaarheden zijn verholpen. Daarnaast heeft Mozilla het rapport van de beveiligingsaudit openbaar gemaakt.

bron: security.nl