Apparmor Firefox-esr Debian 13

    Firefox-Version
    128.14.0esr
    Betriebssystem
    Debian 13

    Hallo zusammen!

    Ich hatte schon bei Debian 12 eine Meldung beim Starten von Firefox. Dazu gibt es ja diesen Artikel dazu. https://support.mozilla.org/en-US/kb/linux-security-warning

    So wie ich das interpretiere, funktioniert die Sandbox von FF nur, wenn ein Apparmor Profil vorhanden ist. Nun ist aber dieses beschriebene Profil ja mehr ein "Placebo" ohne konkrete Schutzfunktion.

    Ein solches liefert nun Debian bei Trixie mit, im Gegensatz zu Bookworm.

    Wie sehr Ihr das, ist das so dennoch von der Schutzfunktion ausreichend, oder sollte man da eher ein strengeres Profil nutzen?

    Leider bin ich, was die Erstellung von solchen Profilen angeht, kein Kenner des Fachs.

    Danke im Voraus!

    Hallo,

    ich weiß nicht, was mit einem „strengeren Profil“ gemeint ist. Aber grundsätzlich würde ich davon ausgehen, dass der standardmäßig gelieferte Schutz „ausreichend“* ist. Natürlich kann man immer versuchen, noch mehr einschränken, aber dann stellt sich immer auch die Frage, welche Auswirkungen das eventuell noch hat.

    *) Ein Browser wird immer Sicherheitslücken haben. Aber wie jeder seriöse Browserhersteller reagiert auch Mozilla sehr schnell auf neue oder neu bekannt gewordene Bedrohungen.

    Wie gesagt, ich bin leider kein ITler, maximal interessierter Nutzer.

    So wie das verstehe, soll Apparmor dabei helfen, Angriffsflächen für Unprivilegierte Benutzer-Namespaces im Kernel zu verringern.

    Die Funktion ermöglicht es unprivilegierten Benutzern, innerhalb einer begrenzten Umgebung Administratorrechte (Root) zu erhalten, ohne dass sie erweiterte Rechte auf dem Host-System erhalten.

    Angeblich sind hier Schwachstellen im Kernel schon öfter ausgenutzt worden, daher diese diese zusätzliche Absicherung. Und mit diesem Profil, das mitgeliefert wird, gibt es wohl diesen zusätzlichen Schutz nicht.

    Kann natürlich sein, dass ich das viel zu eng sehe?

    Wie gesagt, ich würde darauf vertrauen, dass der standardmäßig vorhandene Schutz ausreichend ist. Ein Browser benötigt nun einmal gewisse Privilegien, um alle seine Aufgaben zu erfüllen. Aber Firefox besitzt eine ganze Reihe von Sicherheits-Maßnahmen inklusive einer eigenen Sandbox und sobald Schwachstellen bekannt werden, was normal für jeden Browser ist, reagiert Mozilla sehr zeitnah darauf. Firefox ist nicht dafür bekannt, auf Linux weniger sicher als auf anderen Plattformen oder generell unsicher zu sein.

    OK, danke für die Info!

    Ich war nur etwas unsicher, weil in Beschreibungen dieser Namespaces steht, dass hier eher Schwachstellen des Kernels ausgenutzt wurden /werden, also in dem Fall nicht des Browsers selbst.

    Aber an sich auch paradox, man schafft eine solche Funktion, die Sandboxes für höhere Sicherheit ermöglichen soll und wird dann wieder zu einem Sicherheitsrisiko.