Als zum Jahresauftakt die Hiobs-Botschaft verkündet wurde, dass Intel-CPUs eine schwerwiegende, hardwarebedingte Sicherheitslücke aufweisen, die sich nun teilweise auch auf ARM- sowie AMD-Prozessoren bezieht, ist die ganze IT-Welt in höchster Aufregung. Während die Hard- und Softwarehersteller an Lösungen arbeiten, hat sich auch der Browser-Hersteller Mozilla zu der Thematik geäußert und wie er gedenkt, seinen beliebten Firefox-Browser gegen die Gefahren abzusichern
Über seinen Blog hat sich nun auch Mozilla als Vater des Firefox-Browsers zu den Sicherheitslücken Meltdown und Spectre geäußert und was man zu unternehmen gedenkt, gegen diese Gefahr vorzugehen. Ähnlich wie Microsoft heute auch bei seinem Edge-Browser sowie dem Internet-Explorer vorgegangen ist, hat auch Mozilla bei seinem Firefox den für WebGL wichtigen und standardmäßig aktivierten SharedArrayBuffer deaktiviert und den resolution of performance.now()-Timer auf 20 Mikrosekunden begrenzt. Allerdings schreibt Mozilla auch, dass nur alle Release-Channels ab dem Firefox 57 angesprochen werden, wodurch ältere Versionen oder auch der immer noch aktuelle und von einigen genutzte Firefox 52.0 ESR leer ausgehen.
Zusätzlich sollen die Firefox-Entwickler derzeit mit Techniken experimentieren, welche die Speicherfehler näher an der Basis bekämpfen oder zumindest eindämmen sollen, um mögliche Schäden noch weiter eindämmen zu können. Im Bereich Timing Sources sowie Time-Fuzzing wird ebenfalls eifrig an neuen, eigenen Technologien gearbeitet.
Da es sich bei den aktuell durchgeführten Maßnahmen nur um sogenannte "Notfallmaßnahmen" und keine Dauerlösung handelt, weisen die Mozilla-Entwickler ausdrücklich darauf hin, dass die Nutzer die Geduld aufbringen und entsprechend vorsichtig sein sollen, da die weitere Entwicklung seine Zeit beanspruchen wird da auch die Entwickler die Situation einordnen und verstehen können müssen, um schließlich die kommenden Funktionen testen und implementieren zu können.
Da entsprechende Informationen noch nicht vorliegen, dürfte es interessant sein, wie diverse Forks auf die Situation reagieren werden, da diese zumindest teilweise noch auf dem Mozilla-Code aufbauen. Da andere Mozilla-Projekte wie Pale Moon, Waterfox oder auch SeaMonkey von Hause aus nicht über die Ressourcen verfügen, um solche komplizierten Probleme in den Griff zu bekommen, sollten Nutzer dieser Produkte in ihrem eigenen Interesse besondere Vorsicht walten lassen und diese nur in Ausnahmefällen nutzen oder auf Alternativen ausweichen.
Meinung des Autors: Während der Firefox-Browser ab Version 57 als "sicher" angesehen werden kann, sollten Nutzer älterer Versionen oder anderweitiger Mozilla-Projekte besonders aufmerksam sein, wobei ich sagen muss, dass man als gewöhnlicher Nutzer wohl eher nicht mitbekommt, wenn ein Angreifer die als "Spectre" oder "Maltdown" bezeichneten Angriffs-Szenarien ausnutzt. Waterfox-Nutzer sollten dann vielleicht doch überlegen, auf ein entsprechend sichereres Ausweichprodukt umzusatteln, oder wie seht ihr das?
Über seinen Blog hat sich nun auch Mozilla als Vater des Firefox-Browsers zu den Sicherheitslücken Meltdown und Spectre geäußert und was man zu unternehmen gedenkt, gegen diese Gefahr vorzugehen. Ähnlich wie Microsoft heute auch bei seinem Edge-Browser sowie dem Internet-Explorer vorgegangen ist, hat auch Mozilla bei seinem Firefox den für WebGL wichtigen und standardmäßig aktivierten SharedArrayBuffer deaktiviert und den resolution of performance.now()-Timer auf 20 Mikrosekunden begrenzt. Allerdings schreibt Mozilla auch, dass nur alle Release-Channels ab dem Firefox 57 angesprochen werden, wodurch ältere Versionen oder auch der immer noch aktuelle und von einigen genutzte Firefox 52.0 ESR leer ausgehen.
Zusätzlich sollen die Firefox-Entwickler derzeit mit Techniken experimentieren, welche die Speicherfehler näher an der Basis bekämpfen oder zumindest eindämmen sollen, um mögliche Schäden noch weiter eindämmen zu können. Im Bereich Timing Sources sowie Time-Fuzzing wird ebenfalls eifrig an neuen, eigenen Technologien gearbeitet.
Da es sich bei den aktuell durchgeführten Maßnahmen nur um sogenannte "Notfallmaßnahmen" und keine Dauerlösung handelt, weisen die Mozilla-Entwickler ausdrücklich darauf hin, dass die Nutzer die Geduld aufbringen und entsprechend vorsichtig sein sollen, da die weitere Entwicklung seine Zeit beanspruchen wird da auch die Entwickler die Situation einordnen und verstehen können müssen, um schließlich die kommenden Funktionen testen und implementieren zu können.
Da entsprechende Informationen noch nicht vorliegen, dürfte es interessant sein, wie diverse Forks auf die Situation reagieren werden, da diese zumindest teilweise noch auf dem Mozilla-Code aufbauen. Da andere Mozilla-Projekte wie Pale Moon, Waterfox oder auch SeaMonkey von Hause aus nicht über die Ressourcen verfügen, um solche komplizierten Probleme in den Griff zu bekommen, sollten Nutzer dieser Produkte in ihrem eigenen Interesse besondere Vorsicht walten lassen und diese nur in Ausnahmefällen nutzen oder auf Alternativen ausweichen.
via drwindows
Meinung des Autors: Während der Firefox-Browser ab Version 57 als "sicher" angesehen werden kann, sollten Nutzer älterer Versionen oder anderweitiger Mozilla-Projekte besonders aufmerksam sein, wobei ich sagen muss, dass man als gewöhnlicher Nutzer wohl eher nicht mitbekommt, wenn ein Angreifer die als "Spectre" oder "Maltdown" bezeichneten Angriffs-Szenarien ausnutzt. Waterfox-Nutzer sollten dann vielleicht doch überlegen, auf ein entsprechend sichereres Ausweichprodukt umzusatteln, oder wie seht ihr das?