Der Lifecycle Service von bloosite schliesst Software-Lücken bei Partnern und Endkunden. Sicherheits-relevante Updates werden innert tagesfrist aktualisiert und somit werden neu auftretende Schwachstellen automatisch geschlossen.
Das Beispiel der Zero-Day-Lücke von Mozilla, welche am 29.11.2016 bekannt wurde, zeigt auf wie schnell der bloosite Lifecycle Service die Schwachstelle geschlossen hat.
Der Exploit Code, also der Code wie die Zero-Day-Lücke genutzt werden kann, ist am 29. November 2016, 21:55 UTC in einer Mailinglist von TOR erschienen. TOR verwendet den Code von Firefox. Mozilla hat angeblich den Code bereits etwas vorher am gleichen Tag erhalten.
Speziell an dieser Geschichte ist, dass der Exploit Code veröffentlicht worden ist, wodurch die bekannte Schwachstelle relativ einfach genutzt werden kann. Ansonsten ist bei vielen Schwachstellen der Exploit-Code nicht öffentlich vorhanden und somit muss ein Entwickler zuerst die Schadsoftware entwickeln.
Mozilla hat für die beiden Produkte Firefox und Thunderbird eine aktualisierte Version am 30.11.2016 ca. 23:30 veröffentlicht. Die Kundensysteme von bloosite und uplink konnten kurze Zeit später aktualisiert werden.
Auszug ZDnet:
„Die Ähnlichkeit hat zu Spekulationen geführt, dass dieser Exploit vom FBI oder einer anderen Strafverfolgungsbehörde entwickelt wurde. Bisher wissen wir aber nicht, ob dem so ist. Sollte der Exploit aber tatsächlich von einer Regierung entwickelt und angewendet worden sein, ist die Tatsache, dass er veröffentlicht wurde und nun von jedem benutzt werden kann, um Firefox-Nutzer anzugreifen, ein klarer Beleg dafür, wie angeblich eingeschränktes staatliches Hacking zu einer Bedrohung für das Web werden kann“, ergänzte Veditz.
Wer etwas weiter recherchiert kommt auf einen andere Standpunkt: Um strafbare Handlungen zu verhindern, hat das FBI eine Schwachstelle im TOR-Broswer gesucht und schlussendlich gefunden. Der Exploit wurde darauf hin entwickelt um die Identifikation der Benutzer aufzudecken. Dennoch wurde die Schwachstelle nicht an Mozilla gemeldet, was nun zum globalen Sicherheits-Risiko geworden ist.
Links
Security Blog Mozilla
News Eintrag ZD Net mit deutscher Übersetzung