Firefox: Browser hebelt Sicherheit von Krypto-Plugins selbst aus

Ein Plugin für den Firefox-Browser, das eigentlich eine sichere E-Mail-Nutzung ermöglichen sollte, bringt eher neue Probleme mit sich. Der Mail-Dienstleister Posteo hat das Add-on Mailvelope einem Security-Audit unterworfen, wobei schwerwiegende Fehler zum Vorschein kamen. Unter bestimmten Umständen lasse die Sicherheits-Architektur von Firefox in Verbindung mit dem Plugin zu, dass Angreifer den privaten Krypto-Schlüssel eines PGP-Nutzers ausspionieren. Das betrifft nicht nur die Zugriffe auf Nachrichten, die in Posteo-Accounts bearbeitet werden, sondern auch andere Angebote wie Gmail, GMX, Web.de sowie De-Mail, hieß es.

Das Problem liegt laut der Analyse darin, dass die Firefox-Architektur verschiedene Erweiterungen nicht ausreichend gegeneinander abschottet. Das sei nichts Neues, allerdings gab es bisher noch keine Belege dafür, dass sich dadurch auch Kryptoschlüssel stehlen lassen. Das mit dem Sicherheits-Audit beauftragte Spezialisten-Team von Cure53 habe genau dies nun aber nachweisen können. "Letztendlich kann das Cure53-Team das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen", lautete daraufhin das Fazit der Prüfer.

Fehlerbehebung derzeit nicht möglich

Normalerweise würde die Sache nach dem Bekanntwerden eines solchen Sicherheits-Problems recht einfach weitergehen: Man informiert den Entwickler des anfälligen Plugins, dieser behebt es und liefert einen Patch aus. Das ist in diesem Fall aber nicht möglich. Denn der Mailvelope kann die Schwachstelle selbst gar nicht beheben, ohne dass das Entwickler-Team des Firefox selbst aktiv wird.

Dort wird sich kurzfristig aber schlicht nichts tun. Eine neue Add-on-Architektur ist zwar bereits geplant und in Arbeit, doch wird diese so schnell nicht bereitgestellt. Die Veröffentlichung der neuen Architektur soll mit dem Update auf Firefox 57 erfolgen, das aber erst im kommenden November erscheinen soll.