2018-0029: Mozilla Firefox, Icecat, Spectre: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2018-01-05 13:22): Neues Advisory
Version 2 (2018-01-08 10:52): Canonical stellt für Ubuntu 17.10, Ubuntu 17.04 Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für Mozilla Firefox auf Version 57.0.4 bereit. Für Fedora 26 und 27 stehen Sicherheitsupdates auf diese Version im Status 'stable' (Fedora 27) beziehungsweise 'pending' (Fedora 26) bereit. In allen Sicherheitshinweisen wird neben 'Spectre' (CVE-2017-5715, CVE-2017-5753) auch die Schwachstelle 'Meltdown' (CVE-2017-5754) erwähnt. Mozilla selbst hat zu dieser Schwachstelle bisher keine Angaben gemacht. In einem Update auf den Blog-Post zum Thema kündigt der Hersteller an, dass eine der beiden mit Firefox 57.0.4 eingeführten Mitigationen gegen 'Spectre' mit der nächsten geplanten Aktualisierung auch in Firefox ESR zu finden sein wird. Die Veröffentlichung von Firefox 52.6 ESR ist für den 23. Januar 2018 geplant.
Version 3 (2018-01-10 19:07): Die Sicherheitsupdates von Mozilla zur Behebung der Spectre-Schwachstellen in Firefox wurden für Fedora 26 und 27 nachträglich in die Version 52.5.3 des Browsers GNUZilla Icecat übernommen. Die entsprechenden Sicherheitsupdates stehen im Status 'testing' bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Die Untersuchungen der beiden in Mikroprozessoren bestehenden, unter dem Namen 'Spectre' bekannt gewordenen Schwachstellen hat ergeben, dass die bisher als lokal oder auf das eigene Netzwerk beschränkt angesehenen Angriffe sich mit Hilfe von JavaScript-Engines in Browsern auch auf entfernte Ziele erweitern lassen. Ein entfernter, nicht authentisierter Angreifer kann dies mit Hilfe speziell präparierter Webseiten ausnutzen, um Daten von anderen Webseiten auszulesen (und damit die Same-Policy-Origin zu umgehen) oder Daten aus dem Browser selbst auszuspähen.

Für Mozilla Firefox steht ein Sicherheitsupdate auf Version 57.0.4 zur Verfügung, mit dem zwei Maßnahmen gegen solche Angriffe umgesetzt werden. Da die bisher bekannt gewordenen Angriffe präzise Zeitmessungen erfordern, wird mit diesem kurzfristigen Update zum einen die Präzision einer zur Zeitmessung verwendeten Funktion herabgesetzt und zum anderen ein Puffer (SharedArrayBuffer), aus dem sich ein präziser Timer konstruieren lässt, deaktiviert.

Mozilla weist darauf hin, dass der Puffer mit Firefox 52 ESR bereits deaktiviert wurde, macht aber keine weiteren Angaben zu diesem Produkt. Weiterhin wird dieses Update nicht als abschließende Problemlösung bezeichnet, es wird lediglich eine mögliche neue Klasse von Angriffen erschwert.

Schwachstellen:

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5753