Abo
  • Services:
Anzeige
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers.
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers. (Bild: Mozilla)

Security: Firefox-Schwachstelle erlaubt Auslesen lokaler Daten

Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers.
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers. (Bild: Mozilla)

Über einen Fehler im PDF-Viewer von Firefox können Unbefugte lokale Dateien auslesen. Die Schwachstelle ist inzwischen behoben, Updates sollten bald verfügbar sein. Der Fehler wurde aber bereits ausgenutzt.

Anzeige

In aktuellen Versionen des Firefox-Browsers mit integriertem PDF-Viewer ist ein Fehler entdeckt worden, der bereits von Unbekannten ausgenutzt wurde. Über die Schwachstelle lassen sich lokale Dateien auslesen und auf einen externen Server hochladen. Mozilla hat den Fehler bereits behoben. Anwendern wird dringend geraten, Updates einzuspielen, denn der Fehler wurde bereits aktiv ausgenutzt.

Unbekannte haben ein Exploit der Schwachstelle über eine Anzeige auf einer russischen Webseite verbreitet. Der Schadcode liest unter Windows etwa Konfigurationsdateien für Subversion, s3browser sowie Filezilla und andere FTP-Clients aus. Unter Linux versuche die Malware, die Passwortdatei /etc/passwd, Benutzereinstellungen für SSH sowie Verlaufsdaten für die Bash und die Datenbanken MySQL sowie PostgreSQL auszulesen, berichtet Mozilla-Sicherheitsexperte Daniel Veditz in einem Blogeintrag. Dieser spezielle Exploit lasse zwar Mac-Nutzer außen vor, diese Firefox-Version sei aber ebenfalls für den Angriff anfällig. Veditz rät Nutzern, die Passwörter und Schlüssel auszutauschen. Der Exploit hinterlasse keinerlei Spuren auf dem angegriffenen Rechner.

Updates bereits verfügbar

Der Fehler wurde in der Umsetzung der sogenannten Same Origin Policy der Javascript-Implementierung des Browsers entdeckt. Normalerweise sorgt diese Sicherheitsbarriere dafür, dass nur Javascript-Code ausgeführt werden darf, dessen Herkunft validiert wurde. Im PDF-Viewer war diese Herkunftsprüfung offenbar nicht korrekt umgesetzt. So konnten Angreifer zwar nicht beliebigen Javascript-Code, wohl aber Schadcode im Kontext lokaler Dateien ausführen und so aus der Sandbox ausbrechen.

Wer die Desktopversion von Firefox verwendet, sollte auf Version 39.0.3 beziehungsweise ESR 38.1.1 aktualisieren. Das Update wird seit heute Vormittag auch automatisch verteilt. Die Android-Version von Firefox enthält keinen integrierten PDF-Viewer und ist deshalb von der Schwachstelle nicht betroffen. Möglicherweise seien Nutzer von Adblockern ebenfalls vor dem Exploit geschützt, schreibt Veditz. Welche Adblocker-Software und welche entsprechenden Filter gesetzt werden müssten, sagt Veditz aber nicht.


eye home zur Startseite
Lala Satalin... 08. Aug 2015

+1000

JouMxyzptlk 08. Aug 2015

Oh bitte, was ist denn das für ein klugscheißen? Realität: Die Kunden machen die...

Anonymer Nutzer 08. Aug 2015

Ist eigentlich nur vom PDF-Viewer abhängig. Hat dein "TorBrowser" einen PDF-Viewer,dann...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. Unitool GmbH & Co. EDV-KG, Oyten
  3. noris network AG, Nürnberg
  4. Deichmann SE, Essen


Anzeige
Top-Angebote
  1. (heute u. a. LG 4K-Fernseher u. Serien-Box-Sets reduziert u. Nintendo 2DS inkl. YO-KAI WATCH für...
  2. (heute: Bang & Olufsen BeoPlay A1 für 179,00€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Travelers Box

    Münzgeld am Flughafen tauschen

  2. Apple

    Produktionsfehler macht Akkutausch im iPhone 6S notwendig

  3. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  4. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  5. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  6. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  7. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  8. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  9. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  10. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Quake (1996): Urknall für Mouselook, Mods und moderne 3D-Grafik
Quake (1996)
Urknall für Mouselook, Mods und moderne 3D-Grafik
  1. Künstliche Intelligenz Doom geht in Deckung

Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

  1. Re: Wenn Obama seinen Behörden das Hacken von...

    Desertdelphin | 09:26

  2. Re: Die Einbrinung einer Mindestgarntie

    Andre_af | 09:24

  3. Re: Wegen Galiumnitrid? Sonst nichts?

    DasBoeseBlub | 09:24

  4. Re: Habe selbst keinen Raspberry

    RicoBrassers | 09:24

  5. Re: Genau sowas steht in den...

    M.P. | 09:22


  1. 09:26

  2. 08:41

  3. 12:54

  4. 11:56

  5. 10:54

  6. 10:07

  7. 08:59

  8. 08:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel