Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox

  • Danke für die Erläuterung. Nach dem Studium hiervon bin zumindest ich beruhigt. :D

    Nachtrag: Dennoch sehe ich eine potentielle Gefahr in diesem Plugin und das Hauptproblem ist, dass FF-Nutzer von Cisco abhängig sind, was die Schließung etwaiger Sicherheitslücken betrifft.

  • Zitat von Sören Hentzschel

    beispielsweise SQLite

    Halte ich gerade für nicht passend.
    Fx nutzt SQLite extensiv, aber nur für interne Zwecke.
    Hier ging es aber um ein Plugin, bei dem ein fremde Quelle / Seite mit der Speisung der Daten involviert ist.

  • Natürlich ist das passend. Auch in der SQLite-Bibliothek können Sicherheitslücken existieren, welche behoben und dann in Firefox in Form eines SQLite-Updates integriert werden müssen. Ich verfolge die Release Notes von SQLite nicht, weiß aber, dass so ziemlich jedes Major-Update von Firefox auch mit einem SQLite-Update einhergeht. In beiden Fällen geht es um Drittanbietercode, der nicht in den Händen von Mozilla liegt. Genau darum drehte sich die Sorge in Beitrag #3: die Schließung von Sicherheitslücken in Drittanbietercode, der Bestandteil von Firefox ist. Wo genau das nun zum Einsatz kommt, ist in meinen Augen nebensächlich. Denn nur weil etwas nur intern verwendet wird, bedeutet das schließlich nicht, dass daraus keine Verwundbarkeit entsteht.

  • Zitat von Sören Hentzschel

    Ich verfolge die Release Notes von SQLite nicht,

    Ich auch nur ab und zu.
    Jedes Programm, ob es nun von Mozilla oder von Drittanbietern stammt ist nicht fehlerfrei, diese Fehler können natürlich auch Sicherheitslücken beinhalten.

    Jedoch sehe ich einen gewaltigen Unterschied bezüglich der Quelle der Speisung der Programme von Drittanbietern, was ich ja bereits beschrieben habe.
    Mozilla wird niemals eine "bösartig formulierte SQL" Anfrage an das Produkt schicken und fremde Seiten kommen da nicht ran.
    SQLite ist halt eine andere Baustelle.

    Selbstverständlich will Mozilla bei SQLite immer aktuell sein. Was dort geändert wurde kann man ja in der Release History nachlesen und man sieht wie sie schlicht ihr Produkt bereinigen / pflegen.

  • Zitat von Palli

    Nicht anders als bei Flash, Silverlight, Java usw.

    Seh ich genauso. Deshalb ist das Zeug auch deinstalliert bzw. meistens deaktiviert (Flash).

    SQL sehe ich als recht vertrauenswürdig an, da es public domain ist. Bei Cisco spielen kommerzielle Interessen eine Rolle. Deshalb nicht uneingeschränkt vertrauensvoll.

  • OpenH264 ist eine Open Source-Implementierung des H.264-Codecs, darum auch der Name. Ja, das Plugin selbst ist eine Binärdatei, aber auch Binärdateien lassen sich verifizieren. Brendan Eich hatte dazu letztes Jahr geschrieben: you and others can verify the compiled bits come from that source, no malware or spyware added. We will organize community auditing of this sanity check, and the binary modules will be cryptographically signed so Firefox can verify their integrity (https://brendaneich.com/2013/10/ciscos…s/#comment-1456).

    Cisco ist ein kommerzielles Unternehmen, ja. Dennoch hat Cisco immer offene Formate und Standards unterstützt und Mozilla hat bei der Implementierung des WebRTC-Standards bereits sehr eng mit Cisco zusammengearbeitet. Cisco ist ein ganz großer Anbieter im Bereich Videokonferenzen, denen liegt daher natürlich auch etwas an WebRTC und Cisco bevorzugt hier H.264 als Codec. Darum ja, Cisco hat ein übergeordnetes Interesse. Nämlich an einer möglichst breiten Unterstützung von H.264 für WebRTC-Videotelefonie. Insofern schließen sich hier kommerzielles Interesse und gute Tat nicht aus, sondern unterstützen sich gegenseitig. Cisco treibt WebRTC im Browser voran, das ist toll für die Nutzer und gleichzeitig verbessert das die Kompatibilität zu den Dienstleistungen, die Cisco anbietet. Und die Millionen, die das Cisco an Lizenzgebühren kostet, sind Peanuts für Cisco (48,6 Milliarden (!) USD Umsatz 2013).

  • Das OpenH261 keine Malwareschleuder ist, dass glaube ich und das kommerzielles Interesse und gute Tat sich nicht ausschließen ist mir auch klar. Das Problem, was ich sehe, ist dass das Plugin entweder durch Kriminelle oder auch durch den Staat (zwecks Überwachung) ausgenutzt werden kann (vllt. ist das sogar der Plan). Das es sandboxed ist finde ich nicht sehr beruhigend, da Java das auch ist. Wie ich schon sagte, ist der Nutzer von Cisco abhängig und das ist keine gute Sache. Ich habe das Plugin inzw. deinstalliert, mittels about:config media.gmp-gmpopenh264.provider.enabled= false.
    Ich bin auch etwas überrascht durch das sehr schnelle Dementi von Cisco, dass FF Nutzer nicht betroffen seien. So ganz traue ich dem nicht. :roll:

  • Sorrry, aber dein Beitrag hat sehr viel von Verschwörungstheorie. Firefox ist nicht betroffen, das ist Fakt, daran gibt es überhaupt nichts zu rütteln, das wurde nicht nur von Cisco bestätigt, das wurde auch von Mozilla bestätigt und der Quellcode ist öffentlich, die Sicherheits-Fixes sind für jeden überprüfbar. Vollkommen sinnfrei auch die Äußerung, überrascht über das schnelle Dementi zu sein. Du willst also, dass die Nutzer im Glauben gelassen werden, dass Firefox von Sicherheitslücken betroffen wäre, obwohl das nicht stimmt? Genau das und nichts anderes bedeutet deine Aussage in der Konsequenz. Wenn man weiß, dass Firefox nicht betroffen ist, dann ist es das einzig Logische, dies auch umgehend zu sagen. Es wäre im Gegenteil eigenartig, dies unnötig lange zu verschweigen.

    Wie ich dir ebenfalls bereits erklärt habe, findet sich in Firefox einiger Code, welcher von Drittanbietern kommt, OpenH264 ist da absolut keine Ausnahme. Bei Drittanbieter-Code ist es immer der Drittanbieter, der für den Code verantwortlich ist. Anderes Beispiel: WebRTC, da kommt so viel Code von webrtc.org, den Mozilla übernimmt, teilweise Anpassungen vornimmt und wieder upstream an webrtc.org schickt. Wenn du diese Sorge wirklich ernst meinst, dann darfst du überhaupt keinen Browser verwenden, denn es gibt keinen Browser, auf den das nicht zutrifft. Kein Browserhersteller ist so dumm, alles neu zu erfinden, wofür bereits sehr gute Implementierungen existieren. Nimm Firefox, da steckt auch Code von Chrome drin. Nimm Chrome, da steckt auch Code von Firefox drin. Das Konzept hat einen Namen: Open Source.

    Außerdem: Code in OpenH264 kann genauso gut oder schlecht ausgenutzt werden wie Code, der von Mozilla kommt, da besteht absolut kein Unterschied. Beides ist Open Source, beide Unternehmen unterliegen dem US-Recht, wo genau machst du da für deine Überwachungs-Geschichte den Unterschied? Wenn du A sagst, dann sag bitte auch B und misstraue Mozilla. Aber nur Cisco auf dieser Grundlage (also auf der Grundlage von nichts) zu misstrauen ergibt echt keinen Sinn.

  • Zitat von Darklord666

    Bei Cisco spielen kommerzielle Interessen eine Rolle. Deshalb nicht uneingeschränkt vertrauensvoll.

    Das ist eine etwas verquere Theorie. Kommerz = nicht vertrauenswürdig?
    In vielen Betrieben, Unternehmen usw. ist Vertrauen die Basis des kommerziellen Erfolgs.

    Auch der Betrieb in dem ich arbeite hat ja ein "kommerzielles Interesse". Ich will ja auch meinen Lohn haben.
    Aber zu allererst kommt der Kunde und das Produkt. Kann der Kunde mir vertrauen, das mein Produkt auch was taugt? Nur wenn das so ist, läuft auch der Laden, und nicht umgekehrt.

    Wenn du das nächste mal zum Zahnartz gehst und im Carport seine beiden 911er siehst, dann denk nochmal drüber nach. Vielleicht drehst du aber besser um :)

  • 1. Ich habe nicht gesagt Kommerz = nicht vertrauenswürdig sondern "nicht uneingeschränkt vertrauensvoll". Das ist ein gewaltiger Unterschied.

    2, Firefox bzw. Mozilla finde ich nach wie vor vertrauenswürdig. Das FF den "Bug" offen kommuniziert ist selbstverständlich. Alles andere wäre verdächtig. Es ist aber durchaus denkbar, dass Mozilla von staatlicher Seite gedrängt wurde, diesen "Bug" bzw. das Plugin einzubauen um eine Überwachung im Bedarfsfall zu ermöglichen.

    3. Es ist nur eine Theorie, die ich da angestossen habe. Nicht mehr und nicht weniger. Mit Verschwörung hat das nichts zu tun, sondern mit aktuellen Meldungen und auch Tatsachen. Unsere und andere Regierungen setzen auf totale Überwachung (Stw.:Staatstrojaner). Der neue "Datenschutzbeauftragte" hat ja keinen Hehl daraus gemacht, dass ihm, im Gegensatz zu seinem Vorgänger, an Datenschutz nichts gelegen ist (deshalb ist er eigentlich überflüssig). Das ist leider typisch erzkonservatives Denken.

    4. Ich finde der User muss selbst bestimmen können, welche Plugins/Addons er installiert. Das dieses Plugin von Haus aus ohne Deinstallationsoption installiert wird, ist m.E. nicht im Sinne der großen FF-Community. Da ich (wie viele) keine Verwendung für den Codec habe, bleibt das Teil deinstalliert.

    5. Wie ich schon sagte bin ich mir über Nutzen und Schaden der Funktion durchaus bewusst. Ich finde man darf aber nicht nur die positiven Seiten sehen sondern muss sich auch Gedanken über negative Auswirkungen und potentielle Risiken machen.

  • Zitat von Darklord666

    1. Ich habe nicht gesagt Kommerz = nicht vertrauenswürdig sondern "nicht uneingeschränkt vertrauensvoll". Das ist ein gewaltiger Unterschied.

    Das mag ein Unterschied sein, ist am Ende aber genauso Quatsch, es besteht überhaupt keine Korrelation zwischen Kommerz und Vertrauenswürdigkeit. Vielleicht bist du dir dessen nicht bewusst, aber Firefox wird von der Mozilla Corporation entwickelt. Die Mozilla Corporation ist ein kommerzieller Ableger der Mozilla Foundation. Würde Firefox von der Mozilla Foundation entwickelt, dann dürfte sich Mozilla auch nicht Non-Profit nennen, dazu ist der Anteil von Spenden am Umsatz viel zu gering. Halten wir also fest: Sowohl der OpenH264-Codec als auch Firefox sind Open Source-Produkte, welche von kommerziellen Unternehmen entwickelt werden. Wo ist der Unterschied in deinen Augen? Damit sind wir wieder bei meinem Punkt: Wenn du A sagst, dann sag auch B, aber du bist inkonsequent und sagst, dass bei Cisco schlecht ist, was bei Mozilla egal ist. Das funktioniert nicht als Argument.

    Zitat von Darklord666

    2, Firefox bzw. Mozilla finde ich nach wie vor vertrauenswürdig. Das FF den "Bug" offen kommuniziert ist selbstverständlich. Alles andere wäre verdächtig. Es ist aber durchaus denkbar, dass Mozilla von staatlicher Seite gedrängt wurde, diesen "Bug" bzw. das Plugin einzubauen um eine Überwachung im Bedarfsfall zu ermöglichen.

    Zunächst einmal ist Firefox ein Produkt und keine Firma und kommunizert als solches keinen Bug. Der nächste Punkt ist, dass Cisco die Sicherheitswarnungen für OpenH264 veröffentlicht hat. Das entsprechende Ticket in Mozillas Bugtracker wurde drei Tage danach eröffnet und bezieht sich auf die Sicherheitswarnungen von Cisco. In diesem Ticket wurde dann sowohl von Cisco als auch von Mozilla festgestellt, dass die Sicherheitslücke nie eine Sichereitslücke in Firefox war. Das Bugzilla-Ticket ist übrigens alles, was es von Mozilla an Kommunikation dazu gab, denn wo keine Sicherheitslücke existiert, bedarf es keiner Kommunikation darüber. Auch in Ciscos Warnungen war von Firefox nie explizit die Rede.

    Also auch hier ist deine Argumentation widerlegt, gleich aus zwei Gründen: Erstens weil zunächst Cisco auf die Sicherheitslücken in OpenH264 öffentlich hingewiesen hat und zweitens weil es nie diese Sicherheitslücken in Firefox gab, es also überhaupt nichst gab, wozu Mozilla hätte gedrängt werden können an Sicherheitslücke einzubauen.

    Zitat von Darklord666

    3. Es ist nur eine Theorie, die ich da angestossen habe. Nicht mehr und nicht weniger. Mit Verschwörung hat das nichts zu tun, sondern mit aktuellen Meldungen und auch Tatsachen. Unsere und andere Regierungen setzen auf totale Überwachung (Stw.:Staatstrojaner). Der neue "Datenschutzbeauftragte" hat ja keinen Hehl daraus gemacht, dass ihm, im Gegensatz zu seinem Vorgänger, an Datenschutz nichts gelegen ist (deshalb ist er eigentlich überflüssig). Das ist leider typisch erzkonservatives Denken.

    Auch das kann man so nicht stehen lassen. Dein zweiter Punkt hat nicht nichts mit Verschwörung zu tun, das ist eine Verschwörungstheorie vom Allerfeinsten. Ich weiß ja nicht, was du unter diesem Begriff verstehst, aber was ist bitte eine Verschwörungstheorie wenn nicht die Theorie, dass der Staat auf den Einbau von Bugs in Firefox drängt, welche die Überwachung im Bedarfsfall ermöglicht? Das klingt schon hart paranoid, wenn du meinst, dass so etwas in Firefox unbemerkt möglich wäre.

    Blind vertrauen sollte man natürlich niemandem, auch Mozilla nicht, aber das sagt sogar Mozilla selbst. Genauer sagte Mozillas heutiger CTO Andreas Gal Anfang des Jahres (zu dem Zeitpunkt war Brendan Eich noch CTO), dass man keinem Softwarehersteller, inklusive Browserhersteller, blind vertrauen soll, was Mozilla ja mit einschließt, denn die Regierung könne jederzeit Hersteller durch Gesetze zu Dingen zwingen, die sie nicht tun wollen, aber tun müssen. Er hat damit dazu aufgefordert, den Quellcode zu überprüfen. Die Tatsache, dass Firefox komplett Open Source ist, ist in diesem Zusammenhang ein Riesen-Vorteil gegenüber allen anderen bedeutenden Browsern. Der Artikel, auf den ich mich beziehe, ist in jedem Fall die Lektüre wert: http://andreasgal.com/2014/01/11/trust-but-verify/

    Aber es ist wieder genau das, was ich die ganze Zeit sage: Alles, was du an Zweifeln hast, was Cisco betrifft, musst du ganz genauso auf Mozilla anwenden. Du kannst nicht davon ausgehen, dass Mozilla böse Absichten hat. Die kannst auch Cisco nicht unterstellen. Und wenn du in den Bereich gehst, dass die Regierung ja etwas verlangen könnte, dann gibt es keinen Grund, Mozilla mehr zu vertrauen, denn Mozilla unterliegt denselben Gesetzen. Aber die offene Natur von Mozilla macht es sehr unwahrscheinlich, dass da Dinge unbemerkt vor sich gehen. Einschließlich des Cisco-Plugins, welches auch Open Source und überprüfbar ist.

    Zitat von Darklord666

    4. Ich finde der User muss selbst bestimmen können, welche Plugins/Addons er installiert. Das dieses Plugin von Haus aus ohne Deinstallationsoption installiert wird, ist m.E. nicht im Sinne der großen FF-Community. Da ich (wie viele) keine Verwendung für den Codec habe, bleibt das Teil deinstalliert.

    Auch dieser Absatz ist vollkommener Quatsch. Wo soll ich nur anfangen? Damit, dass es in Firefox für kein einziges Plugin eine Deinstallationsmöglichkeit gibt? Oder damit, dass die Installation des OpenH264-Codecs via about:config deaktiviert werden kann? Der wichtigste Punkt aber ist: bei welchem anderen Feature wirst du vorher gefragt, ob du es installieren möchtest? Genau: bei keinem einzigen. Letztlich ist das ein Feature wie jedes andere auch. Der einzige Grund, wieso es als Plugin umgesetzt ist, ist die Tatsache, dass dies die einzige legale Möglichkeit ist, den Codec an die vielen Millionen Firefox-Nutzer auszuliefern, ohne einen Millionenbetrag an Lizenzgebühren zahlen zu müssen. H.264 ist nun einmal nicht nur der beste Codec für WebRTC, es ist dazu ein Codec, in dem viel patentierte Technologie steckt und der nicht kostenlos an die Nutzer ausgeliefert werden darf. Darüber hinaus wurde vor ein paar Tagen bekannt gegeben, dass H.264 verpflichtend für WebRTC ist, das bedeutet, ein Browser, der H.264 in WebRTC nicht unterstützt, darf sich nicht WebRTC-kompatibel nennen. Also die Tatsache, dass du hervorhebst, dass es vermeintlich viele gibt, die das so sehen wie du, ändert nichts daran, dass das extrem viele Firefox-Nutzer tangiert, denn WebRTC ist nichts, was nur von einem ganz kleinen Teil der Nutzer genutzt wird.

    Und wenn du schon den Vergleich mit Plugins ziehst, worauf ich am Anfang dieses Absatzes sogar eingestiegen bin, dann ist dir aber schon klar, dass Gecko Media Plugins mit NPAPI-Plugins nichts zu tun haben, oder? Der OpenH264-Codec ist das derzeit einzige Gecko Media Plugin, welches auf diesem Planeten existiert. Es wird mit dem Adobe Content Decryption Module (CDM) noch ein zweites für EME dazu kommen, aber das ist Zukunft. Darüber hinaus hat das ja sogar noch einen Riesen-Vorteil für Endanwender: es kann per Knopfdruck deaktiviert werden. Kann man sonst auch mit kaum einen Feature in Firefox, das ist ja noch leichter als about:config zu verwenden.

    Zitat von Darklord666

    5. Wie ich schon sagte bin ich mir über Nutzen und Schaden der Funktion durchaus bewusst. Ich finde man darf aber nicht nur die positiven Seiten sehen sondern muss sich auch Gedanken über negative Auswirkungen und potentielle Risiken machen.

    Offensichtlich bist du dir dessen kein bisschen bewusst, ansonsten würde dein Beitrag nicht so aussehen und du würdest nicht von Schaden sprechen. Welcher Schaden entsteht bitte? Welche negativen Auswirkungen? Du konntest nicht einen einzigen Negativ-Aspekt nennen, in dem sich das von anderen Teilen von Firefox unterscheidet. Nochmal der Bezug zu meinen vorherigen Beiträgen: All die anderen Teile von Firefox, die nicht von Mozilla stammen, über die hab ich dich noch nie auch nur ein einziges Wort verlieren sehen. Aber bei Cisco ist es ein Problem? Und sag nicht, dass du das nicht wusstest, ich habe in diesem Thread bereits mehrfach den Punkt gebracht, spätestens im Laufe der Diskussion hast du das gelernt. Deine Argumentation ist von vorne bis hinten unschlüssig.

  • Zitat von Darklord666

    sondern eine legitime Frage wer das Plugin wie, wann und wo nutzen kann

    Guckst du hier beim W3C WebRTC 1.0: Real-time Communication Between Browsers

    Zitat von Darklord666

    Interessant ist auch folgender Bugzillathread: https://bugzilla.mozilla.org/show_bug.cgi?id=1100304

    Der ist absolut nicht interessant.
    Ob nun 50 MB von Mozilla geladen werden oder es nun 50 MB plus 1 MB sind, ist absolut unbedeutsam.
    Es geht hier um die Kosten der Lizenz.

  • Zitat von Darklord666

    Ich bleibe dabei, es ist keine Verschwörungstheorie sondern eine legitime Frage wer das Plugin wie, wann und wo nutzen kann und Fragen bleiben immer noch offen.

    Doof nur, dass du das überhaupt nicht gefragt hast. Ansonsten wäre diese Frage auch umgehend beantwortet worden. Ich bin auf jeden einzelnen Punkt von dir eingegangen. Es ist also unmöglich zu behaupten, dass irgendeine Frage offen geblieben wäre. Du bist jetzt allerdings auf keinen einzigen von all den Punkten eingegangen, die das von dir Geschriebene widerlegt haben. Und das, was du in deinem letzten Beitrag von dir gegeben hast, das ist selbstverständlich schon mindestens an der Grenze einer Verschwörungstheorie, was denn bitte sonst? Eine "Frage wer das Plugin wie, wann und wo nutzen kann" war das definitiv nicht, die Frage steckte da nirgends drin. Um es kurz zu machen: Der Codec wird für WebRTC genutzt und kann nicht für die Video-Wiedergabe auf Webseiten genutzt werden.

    Zitat von Darklord666

    Interessant ist auch folgender Bugzillathread: https://bugzilla.mozilla.org/show_bug.cgi?id=1100304

    Ich werde das ganze weiter verfolgen und denke das letzte Wort ist noch nicht gesprochen.

    Da kann ich mich .Hermes nur anschließen, der Bug ist in diesem Zusammenhang absolut uninteressant. Rätselhaft auch, welches letzte Wort noch nicht gesprochen sein soll. Hier geht es um Sicherheitslücken, die nicht in Firefox existieren. Da ist sowas von das letzte Wort gesprochen.

  • Zitat von Sören Hentzschel

    Du bist jetzt allerdings auf keinen einzigen von all den Punkten eingegangen, die das von dir Geschriebene widerlegt haben.

    Kommt noch... Ich muss deinen ganzen Text und die WEB RTC-Seite erst mal durcharbeiten (sehr technisch). Mein 1. Eindruck ist, du siehst das ganze etwas verklärt und meinen Standpunkt nicht ganz objektiv. Vllt. drück ich mich auch nicht klar genug aus.

    2 Fragen habe ich aber:

    - Warum wird das Web-RTC-Plugin einem aufgezwungen, wenn man doch Videokonferenzen gar nicht benötigt ?

    - ich habe irgendwo bei Bugzilla gelesen, dass VPN-Nutzer mit diesem Plugin identifiziert werden können. Das sei "per
    Design". Was ist dann mit den ganzen Internetaktivisten, die auch Firefox-Nutzer sind ?