Mozilla zieht Konsequenzen aus Firefox-Add-on-Bug

Mozilla veröffentlicht neue Informationen zu seinem Add-On-Bug. Vor rund einer Woche funktionierten Erweiterungen in Firefox plötzlich nicht mehr oder ließen sich nicht installieren, da ein Zertifikat ausgelaufen war.

Die Entwickler entschuldigen sich auf ihrem Blog erneut bei ihren Nutzern für die Unannehmlichkeiten. Mittlerweile habe man die Funktionalität der Add-ons für fast alle Firefox-Anwender wieder herstellen können, so Mozilla.

Zur kurzfristigen Behebung des Problems hatten die Open-Source-Spezialisten eine Änderung in den Firefox-Studien vorgeschlagen. Mittlerweile wurde aber ein Update für den Browser verteilt, das den Bug auch ohne weiteres Zutun der Anwender behebt. Anwender, die zur Fehlerbehebung die "Studien-Funktion" aktiviert hatten, können diese nun wieder deaktivieren. Außerdem verspricht Mozilla alle darüber erhobenen Daten für den betreffenden Zeitpunkt zu löschen.

Der Fix bestand darin, ein Ersatzzertifikat zu erstellen und zu verteilen. Was verhältnismäßig einfach klingt, war laut Mozilla CTO Eric Rescorla bei Weitem komplizierter. Das genaue Vorgehen beschreibt er ausführlich in einem Blogpost.

Grundsätzlich werde daran gearbeitet, derartige Vorfälle in Zukunft zu verhindern, so Rescorla. Außerdem soll ein Post-Mortem-Verfahren durchgeführt werden. Die daraus resultierende Liste an Änderungen will das Unternehmen den Anwendern im Anschluss zur Verfügung stellen. Ferner soll ein Mechanismus entwickelt werden, mit dem Aktualisierungen dieser Art schneller an die Anwender verteilt werden können. Nutzer sollen künftig außerdem eine Einstellungsmöglichkeit erhalten, Hotfixes und dergleichen zu erhalten, ohne die Studien aktivieren zu müssen.

Auch, wenn der Bug vielleicht ärgerlich war und einige wenige Nutzer dadurch Daten verloren haben: Ein Sicherheitsrisiko bestand offenbar zu keiner Zeit. Ganz im Gegenteil. Aufgrund von fälschlicherweise gut funktionierender Sicherheitsmechanismen kam es überhaupt erst zu diesem Bug.