Firefox Update security audit resultaten gepubliceerd

0
20

door Martin Brinkmann op oktober 10, 2018 in het Firefox – 9 reacties

Een van de belangrijkste onderdelen van de Firefox webbrowser is geïntegreerd systeem bijwerken. Ontworpen om te controleren op nieuwe updates regelmatig en het downloaden & installeren van nieuwe updates automatisch, het is een essentieel onderdeel van de browser.

Mozilla ingehuurd duitse security bedrijf X41 D-SEC GMBH ter controle van de Toepassing Update Service (AUS) die de bevoegdheden van de automatische Firefox updates. Het bedrijf de veiligheid van de onderzoekers analyseerden de update in de Firefox zowel opdrachtgever als backend services ontworpen voor het leveren van updates en bieden Mozilla personeel met functionaliteit voor het beheer van (de zogenaamde Balrog).

De onderzoekers analyseerden de broncode van de componenten en gebruikt verschillende methoden van penetratie testen om te beoordelen van de integriteit van de infrastructuur, web applicaties, en updater klanten”.

Geen kritieke problemen

firefox update audit

Geen kritieke problemen werden ontdekt door de onderzoekers. De onderzoekers hebben drie kwetsbaarheden die ze nominale hoog, zeven, dat zij beoordeelden medium, en vier dat ze nominale laag. Bovendien ontdekten ze 21 extra problemen “zonder een directe veiligheid impact”.

Alle kwetsbaarheden beoordeeld met een prioriteitsniveau van hoog waren te vinden in de management console Balrog, dat alleen toegankelijk is op Mozilla ‘ s interne netwerk.

De meest ernstige kwetsbaarheid ontdekt was een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de administratie-web application-interface, die kunnen aanvallers trigger onbedoelde administratieve handelingen onder bepaalde voorwaarden.

Andere kwetsbaarheden geïdentificeerd werden geheugen problemen, onveilige behandeling van onbetrouwbare gegevens, en problemen met de stabiliteit (Denial of Service (DoS)). De meeste van deze problemen waren beperkt door de eis te omzeilen cryptografische handtekeningen.

Geen problemen geïdentificeerd in de behandeling van cryptografische handtekeningen voor de update-bestanden. Er waren geen cryptografische handtekeningen op de XML-bestanden de beschrijving van de update-bestanden’ – locatie en andere metadata. De bestanden zijn gedownload via HTTPS, maar de server certificaten of publieke sleutels waren niet vastgemaakt.

De drie kwetsbaarheden nominale hoog zijn:

  • BLRG-PT-18-002: het Gebruik van Onveilige JavaScript-LibrariesWith Bekende Kwetsbaarheden
  • BLRG-PT-18-010: CSRF Token niet Gevalideerd
  • BLRG-PT-18-011: Cookies, Zonder de Veilige Vlag

Mozilla vaste deel van de problemen al en werkt actief mee aan het oplossen van de overige problemen. De volledige auditt is gepubliceerd op Google Drive. Het bevat gedetailleerde informatie over elk van de gedetecteerde kwetsbaarheden en verdere documentatie.

Conclusie

Een derde-partij security audit van Firefox bijwerken van onderdelen, zowel in de client en op de backend geconcludeerd dat de beveiliging was goed. Geen kritieke problemen gevonden werden tijdens de audit en alle problemen nominale hoog waren gevonden in de beheerconsole alleen toegankelijk op Mozilla ‘ s interne netwerk.