Hat Firefox ein Sicherheitsproblem?

    Im Zuge des jüngsten Zero-Day-Exploits habe ich mich ein wenig über die Sicherheit von Firefox und Chrome informiert.

    Schaut man sich nur die Common Vulnerabilities and Exposures an, hat Firefox in manchen Jahren so viele Lücken mit Code Executions wie Chrome insgesamt (!) seit seines ersten Releases. Obwohl Chrome(ium) mittlerweile einen höheren Anteil am Browsermarkt hat als Firefox.

    https://www.cvedetails.com/product/3264/M…l?vendor_id=452
    https://www.cvedetails.com/product/15031/…?vendor_id=1224

    Oder anders gesagt: Alleine dieses Jahr hatte der Firefox alle sechs Tage eine Lücke, mit der man Code einschleusen konnte, während Chrome in der gleichen Zeit nur zwei solcher Lücken hatte.

    Laut einer Analyse von GData konnte auch die jüngst eingeführte Sandbox die Attacke nicht abfangen, da sie komplett im Arbeitsspeicher, ohne Zugriff auf das Dateisystem, ablief.

    Ist die Betrachtung zu einseitig oder hat Firefox tatsächlich ein signifikantes Sicherheitsproblem?

    Zitat von Lurtz

    Ist die Betrachtung zu einseitig oder hat Firefox tatsächlich ein signifikantes Sicherheitsproblem?


    Wenn du schon so fragst: Ja, deine Betrachtung ist sehr einseitig. Du schaust nur auf die Code Execution und lässt alle anderen außen vor.
    Man könnte auch so argumentieren: Firefox hatte laut deinen Links insgesamt 1437 Lücken in 13 Jahren, Chrome 1357 in 8 Jahren. Wer sieht dann besser aus?

    Das ist natürlich auch zu kurz gesprungen. Die nackten Zahlen sagen gar nichts, wenn man nicht die jeweilige Kritikalität kennt. Auch Code Excecutions sind nicht gleich. Die aktuelle Lücke, die zur De-Anonymisierung von Tor-Nutzern benutzt werden kann, kann für einige lebensgefährliche Auswirkungen haben. Der großen Masse wird die Lücke ziemlich egal sein, weil sie gar nicht betroffen ist bzw. war.

    Übrigens hätten einige der von den hiesigen "Experten" oft so runtergemachten Sicherheitsprogramme vor dieser Lücke geschützt. Siehe G DATA: https://blog.gdatasoftware.com/2016/11/29346-…eting-tor-users

    Das Wichtigste hat ccm bereits geschrieben. Sicherheit lässt sich nicht ausschließlich darüber messen. Dem letzten Satz würde ich nicht uneingeschränkt zustimmen, da diese Art von Software (Sicherheits-Software) grundsätzlich einen eigenen, riesengroßen Angriffsvektor darstellt, und bei beinahe jedem namhaften Hersteller in jüngster Vergangenheit schwerwiegende Sicherheits-Defizite nachgewiesen werden konnten. Allerdings ist das auch wieder ein anderes Thema.

    In jedem Fall muss hervorgehoben werden, dass Sicherheit nicht durch die Anzahl bekannter Sicherheitslücken definiert wird. Da gibt es ja auch ganz unterschiedliche Gewichte, Ausnutzbarkeit und Zeit bis zur Behebung sind weitere Faktoren, die dort mit hinein spielen. Dazu kommen aber auch noch grundsätzliche Sicherheits-Architekturen und -Funktionen, die überhaupt nichts direkt mit existierenden Sicherheitslücken zu tun haben.

    Zitat von Lurtz

    Laut einer Analyse von GData konnte auch die jüngst eingeführte Sandbox die Attacke nicht abfangen, da sie komplett im Arbeitsspeicher, ohne Zugriff auf das Dateisystem, ablief.

    Jüngst eingeführte Sandbox ist auch fast schon zu viel gesagt. Mal ganz davon abgesehen, dass es eine Sandbox nur für Nutzer der Multiprozess-Architektur gibt, befindet sich die Sandbox derzeit auch noch auf einem minimal restriktiven Level. Die ist noch gar nicht maximal scharf gestellt und bringt in dieser Form noch wenig (ich sage nicht >gar nichts<, aber auch nicht >extrem viel<). Übrigens unterschiedlich je nach Betriebssystem:

    https://wiki.mozilla.org/Security/Sandbox#Current_Status

    Zitat von Lurtz

    Ist die Betrachtung zu einseitig oder hat Firefox tatsächlich ein signifikantes Sicherheitsproblem?

    Zu allem bereits Geschriebenen möchte ich ergänzen: hätte Firefox tatsächlich ein signifikantes Sicherheitsproblem wäre genau das der Ruf, der Mozilla anhaften würde. Mozilla hat aber einen relativ guten Ruf, was das Thema Sicherheit betrifft, nicht nur in Bezug auf Firefox. Nimm nur den jüngsten Zero-Day-Exploit, auf den du dich beziehst, der war innerhalb von weniger als 24 Stunden behoben und an die ersten Nutzer ausgeliefert. Das trifft meines Erachtens eher eine Definition von Sicherheit als die Anzahl grundsätzlich mal vorhanden gewesener Lücken.

    Zitat von Sören Hentzschel

    Dem letzten Satz würde ich nicht uneingeschränkt zustimmen,


    Bis auf den kleinen Seitenhieb darfst du das ruhig tun. Denn dass diese Software vor der Ausnutzung der Lücke schützt ist uneingeschränkt richtig. Mehr hatte ich nicht behauptet.

    Zitat von Sören Hentzschel

    befindet sich die Sandbox derzeit auch noch auf einem minimal restriktiven Level.


    Das sollte egal sein. Bei dieser Lücke ging es ja nicht um einen Ausbruch aus der Sandbox, um dann zum Beispiel Malware zu installieren oder so. Es ging um das Auslesen von Speicherinhalten von innerhalb der Sandbox. Zumindest habe ich den CVE so verstanden. Da hätte nach meinem Verständnis auch eine fertige Sandbox nichts geholfen. Das ist ja nicht deren Aufgabe. Insofern ist die Aussage seitens G DATA zwar richtig und ein Argument für ihre Software, aber für den Vergleich Firefox - Chrome total belanglos. Hätte Chrome diese Lücke, hätte dessen Sandbox auch nichts gebracht.

    Einer Aussage nicht zuzustimmen hat mit einem Seitenhieb wirklich nicht das Geringste zu tun. Mehr als das, was du jetzt meinst, hast du vielleicht nicht direkt geschrieben, aber du hast alleine durch deine Formulierung impliziert, dass die Kritik an dieser Art Software grundsätzlich nicht gerechtfertigt sei. Vielleicht war es nicht so gemeint, aber es ist so durchaus interpretierbar.

    Was meine Aussage zur Sandbox betrifft, da war ich selbst unklar: mir ging es darum, dass die Sandbox-Implementierung in Firefox grundsätzlich noch keine vollwertige Sandbox darstellt und daher auch noch nicht die Erwartungen einer vollwertigen Sandbox erfüllen kann. Das sollte von mir nicht auf die konkrete Schwachstelle bezogen werden, da ich das auch gar nicht überprüft habe. Ich habe aus der Aussage zur Sandbox interpretiert, dass hier bereits eine gewisse Erwartungshaltung existiert. Tatsächlich ist das Sandboxing aber noch Work-in-Progress, unabhängig davon, ob es eine Lösung für diese Schwachstelle hätte darstellen können oder nicht.

    Sind Code-Executions nicht so ziemlich der Super-GAU sicherheitstechnisch? Da sind die Exploits bei Chrome vielleicht relativ gesehen harmloser.

    Aber Chrome scheint ja wie so ziemlich alle Browser in C++ geschrieben, meines Wissens nach. Weiß man ob es bei Chrome eine Initiative für eine weiterentwickelte Sprache wie Rust gibt?

    Man kann nicht pauschal sagen, dass "Code-Executions" der Super-GAU und andere Arten relativ gesehen harmlos seien, diese Kategorisierung sagt nichts über die Schwere der einzelnen Lücken aus. Wenn du dich schon auf diese eine Webseite beziehen willst, jede einzelne Lücke hat dort einen Score. Und da sieht Chrome nicht wirklich "harmloser" aus, da sind genauso richtig schwerwiegende Sicherheitslücken zu finden. Aber das ist wie gesagt gar nicht alleine entscheidend, in die Gesamtsicherheit spielt sehr viel mehr rein als nur diese Zahlen. Die meisten Sicherheitslücken sind sogar schon behoben, wenn sie der Öffentlichkeit bekannt werden. Und längst nicht jede Sicherheitslücke ist Angreifern vorher bekannt. Danach kann man also wirklich nicht gehen.

    Google hat mit Go eine zu C++ vergleichbare eigene Programmiersprache. Ich weiß nicht, ob Google Go in Chrome verwendet, und Go unterscheidet sich konzeptionell auch stark von Rust, aber grundsätzlich gibt es eine "weiterentwickelte Sprache wie Rust" von Google.