Sehr geehrter Herr Beisecker,
ich habe Ihren Beitrag zu “Java- die neuen Sicherheitslücken 2016” im PC-Anwender-handbuch 5/April 2016 mit Interesse gelesen. Dazu habe ich zwei Fragen:
1. Gelten Ihre Ausführungen auch für den Firefox ESR (Version 38.7.1)?
Ich nutze den auf meinem Laptop.
2. Ist auch der aktuelle Browser-in-the-Box der Fa. Sirrix betroffen ? Ich nutze den auf meinem Desktoprechner.
Mit freundlichen Grüßen
alamogordo
Sehr geehrter alamogordo,
zu 1: Die aktuelle Version von Firefox ESR ist 45, also sind Sie mit Version 38 schon sieben Versionen hinterher und entsprechend unsicher ist Ihr Browser. Ich habe die Änderungen der Versionen nicht im Kopf, dazu sind es zu viele. Aber es kann zum Beispiel sein, dass bei Firefox ESR noch gar keine automatische Java-Sperre vorhanden ist. Also die Ausführungen gelten auch für Firefox ESR, aber als allererstes, sollten Sie ein aktuelles Firefox installieren.
zu 2: Prinzipiell ist auch Firefox in the Box betroffen, wobei die “Box”, also der virtuelle Rechner einen gewissen Schutz bietet. Ihr Windows-PC wird daher nicht zwingend infiziert, wenn ein Angriff auf Bitbox erfolgt. Generell würde ich aber bei jedem Browser überprüfen und sofern erforderlich und machbar, Java sperren.
Zur Problematik Java bei Bitbox hier ein Zitat aus Wikipedia:
“BitBox enthält die Java-Laufzeitumgebung. Diese ist nicht immer auf dem aktuellen Stand und wird lediglich unregelmäßig mit einer neuen BitBox-Version aktualisiert. Dies würde auf herkömmlichen Systemen zu starken Sicherheitsproblemen führen. Durch die Verwendung des gehärteten Betriebssystems im Gast wird jedoch die Angriffsfläche für einen Angreifer stark eingeschränkt und verhindert somit das Ausnutzen der meisten bekannten Sicherheitslücken.”
Generell ist die Crux bei solchen “sicheren Browsern” wie Bitbox, dass diese nicht so oft aktualisiert werden wie der eingebundene Browser und Erweiterungen wie Java. Das schafft Sicherheitslücken. Nur wiegt die Sicherheit durch die virtuelle Umgebung höher, so dass insgesamt Bitbox immer noch als sicherer anzusehen ist, als ein aktueller Firefox in Windows.
Viele Grüße
Michael-Alexander Beisecker
Guten Tag an beide,
die Update-Philosophie bei den ESR-Versionen von Firefox ist verschieden von der Standardversion. Es ist richtig, dass die aktuelle ESR-Version die Nummer 45.0.1 hat. Die Vorgängerversion ist 38 – dazwischen gab es keine weitere ESR-Version!
Es gibt nur ca. eine Neuauflage der ESR-Version pro Jahr. Der Zeitplan ist hier veröffentlicht: https://www.mozilla.org/en-US/firefox/organizations/faq/
Das Besondere bei ESR ist, dass die ältere Version noch ca. 3 Monate nach Erscheinen der Folgeversion mit Sicherheits-Updates versorgt wird.
Der Update für die 38er läuft zum 31. Mai 2016 aus. Daher ist die Version 38 ESR keineswegs unsicher, wenn alle Plug-Ins ebenfalls auf dem neuesten Stand sind.
VG
Norbert Hahn
Sehr geehrter Herr Hahn und sehr geehrter alamogordo,
danke für den Hinweis Herr Hahn. Ich verwende das “normale” Firefox und die Nightly Builds (Beta-Versionen), um die Entwicklung der nächsten Monate zu sehen. Das ESR nur einmal im Jahr aktualisiert wird, hatte ich daher nicht bedacht, ich ging von einem kürzeren Zeitraum aus.
Tatsächlich ist ESR 38.7 nach dem Zeitplan noch aktuell, es kommt dann noch 38.8 und erst dann ist es aus Sicherheitsgründen auf jeden Fall erforderlich, auf Version 45 zu aktualisieren.
Unabhängig davon hat Mozilla jedoch Java ab einer bestimmten Version gesperrt und ich weiß nicht, ob das auch bei der ESR-Version 38.7 der Fall ist.
Ich nutze die ESR-Versionen nicht und empfehle sie auch nicht für Privatanwender, sofern nicht eine zwingende Notwendigkeit besteht, die da z.B. wäre:
– Es ist ein Rechner des Arbeitgebers und der hat die Version 38 aus Kompatibilitätsgründen festgelegt.
– Unverzichtbare Browser-Erweiterungen laufen nicht mit einer der neueren Versionen.
In jedem Fall sollte bei ESR 38 überprüft werden, ob Java dort aktiviert ist oder nicht und auf welchem Stand das ist. Außerdem empfehle ich das Update auf ESR 45, sofern kein zwingender Grund dem entgegensteht.
Unabhängig davon würde ich bei rein privatem Einsatz den Wechsel zur normalen Firefox-Version 45 empfehlen, sofern ESR nicht wirklich erforderlich ist. Dann ist Firefox immer auf dem aktuellen Stand.
Der Vorteil zeigt sich zum Beispiel bei Version 42, denn seit dieser ist in Firefox ein verbesserter Tracking-Schutz enthalten: https://www.heise.de/newsticker/meldung/Firefox-42-blockiert-Tracker-2868184.html
Dieser Schutz wurde und wird in den Folgeversion immer weiter verbessert. Die Verbesserungen bekommt man bei ESR aber erst mit Version 45 und hat dann bis nächstes Jahr und ESR 52 nicht den aktuellen Stand.
Zwar ist der Tracking-Schutz nicht zwingend, schützt aber die Privatsphäre. Noch besser ist der Tracking-Schutz bei CLIQZ, das auf Firefox basiert: https://cliqz.com/
Viele Grüße
Michael-Alexander Beisecker
Sehr geehrter Herr Beisecker, sehr geehrter Herr Hahn,
danke für Ihre Hinweise und Erläuterungen. Erlauben Sie mir noch folgende Anmerkungen:
1. Wenn ich bei Firefox ESR die Version (“Über Firefox”) abrufen will, erhalte ich den Hinweis “Firefox ist aktuell (nämlich 38.7.1)”, “Sie sind derzeit auf dem Update-Kanal esr”. Es finde sich kein Hinweis auf eine höhere Version.
2 Auch die Fa. Sirrix arbeitet meines Wissens nach bei ihrem aktuellen (2106) BitBox mit der Version 38.xx – ich kann mir nicht vorstellen, dass man es sich dort leisten kann, mit einer ziemlisch veralteten Version auf den Markt zu gehen – das würde dem Anpruch eines IT-Sicherheitsunternehmens wohl schlecht bekommen.
Mit freundlichen Grüßen
alamogordo
Hallo alamogordo,
ja, das ist so in Ordnung!
VG
Norbert Hahn