655 Fehler und 71 Sicherheitslücken im Firefox gefunden

Hallo,

die Mozilla Corporation gab bekannt, dass mit Hilfe der Analyse-Software Coverity sowie Klocwork K7 insgesamt 655 Quelltext-Fehler und 71 potenzielle Sicherheitslücken gefunden wurden. Die Lücken werden, wie man es von Mozilla gewohnt ist, geheim gehalten, Firefox-Entwickler erhalten komplette Analyse-Ergebnisse.

Es ist für Programmierer unmöglich, zu 100% fehlerfrei zu arbeiten (ich weiß das, ich bin einer :)), ein Mensch ist eben keine Maschine. Aber wie Linus Torvalds mal sagte: "Having enough eyes, all bugs seem shallow" - ein riesiger Vorteil, den Firefox als unabhängige Open-Source gegenüber den propietären Browsern hat.
Mozillas Schritt zur Quelltext-Analyse zeigt, dass es ihnen ernst ist und wir uns bald auf mehrere Updates einstellen können, mit denen die Software sich schrittweise der Perfektion annähern wird. Davon werden auch alle auf Firefox-Code basierenden Browser profitieren. Mozilla hat schließlich einen Ruf zu verlieren, und im Reagieren sind sie genau so gut wie im Verheimlichen von Lücken. Das ist ein gutes Rezept, um den Browser auch in Zukunft sicher zu halten.

http://www.golem.de/0609/47695.html

Wobei es bei quelloffener Software aber auch den Nachteil gibt, dass auch böse Augen es leichter haben?

Ja, darauf zielt man aber auch ab. Gerade weil Angriffe ohne vorheriges Reverse-Engineering ausgedacht werden können, finden sich die Lücken durch eine große Community sehr schnell. Eine OpenSource ist in den Anfangsstadien meist wie ein Sieb und wird gerade aufgrund der ausgedachten Angriffsstrategien ständig sicherer.

Bei propietäraren geschlossenem Quellcode kommt es allein auf das Entwickler-Team an, wie gut die Software wird. Angriffe kommen spät, weil sie aufwändiger zu entwickeln sind. Bei IE ist der hohe Verbreitungsgrad nebst der bekannten Softwaremängel ein Grund, dass ziemlich zahlreiche Exploits erschienen sind, die die Sicherheit gefährden können - irgendjemand irgendwo hat immer zuviel Zeit :)

Opera ist von Haus aus eine sehr stabile Software, der Verbreitungsgrad ist trotzdem relativ gering, was mit ein Grund der wenigen entdeckten Sicherheitslecks ist.

Das Mozilla Team scheint derzeit schon sehr bestrebt, den Sicherheitslücken nicht hinterherzulaufen

Das Prinzip, Sicherheitslücken der Öffentlichkeit geheim zu halten, bis ein Patch verfügbar ist, ist kein neuer Grundgedanke bei OS-Entwicklung. OO.org beispielsweise verfolgt dieses Prinzip ebenso und fährt gut damit.

Mozilla muss noch schneller im Releasen der Patches werden, um sich weiter mit der Sicherheit des Firefox rühmen zu können, keine Frage. Hier kann die große offene Entwicklergemeinde ein Vorteil sein, die sich jetzt durch die Bedrohung des FF-Rufs doppelt anstrengen wird, um nicht in Verruf zu geraten.

Aber im gewissen Sinne steht Firefox auch unter Zugzwang, wenn solche Analysesoftware zur Verfügung steht?

Fakt ist, Analysesoftware-Tools sind auch nur Software, die den größeren Zusammenhang nicht erkennen kann. Die Fehler, die in Firefox gefunden wurden, sind vor allem Pointer-Fehler, die durch leichtfertige Funktionsprogrammierung in schlimmen Fällen auf NULL zeigen können, nicht initialisierte Variablen, womit die Gefahr der Manipulation besteht, und Speicher, der nicht freigegeben wird, wenn eine Funktion unerwartet abbricht. Dies sind alles einfach behebbare Mängel, die sicher als erstes abgearbeitet werden.
Hier kann man den Report anschauen: http://www.g2zero.com/2006/09/examining_defects_in_the_firef.html

Die sich ergebenden möglichen Sicherheitsrisiken lassen sich daraus natürlich nicht ableiten, die sind nur den Entwicklern zugänglich. Mal sehen wie sich die Sache entwickelt, Mozilla wird reagieren müssen.

wieviele Fehler abgefangen sind weiss man nicht.

Doch, also mindestens 4 sehr kritische und 2 wichtige, schreibt jedenfalls Mozilla. Auch Thunderbird wurde gleichzeitig geupdatet, dabei wurden sehr ähnliche Sicherheitslecks gestopft.

Edit:
Viele Speicherfehler wurden in einem Advisory zusammengefasst. Das sind dann wohl einige aus den vergangenen Coverity-Tests?