Anzeige
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Sicherheitslücke: Rechteerschleichung über den Mozilla Maintenance Service

Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Der Mozilla Maintenance Service von Firefox und Thunderbird lässt sich von lokaler Schadsoftware zur Erlangung höherer Rechte ausnutzen. Die Sicherheitslücke kann nur über Umwege ausgenutzt werden. Andere Lücken sind allerdings kritisch und sollten vom Anwender durch Updates beseitigt werden.

In den Mozilla-Programmen Firefox und Thunderbird stecken mehrere, teils gefährliche Sicherheitslücken. Das geht aus den aktualisierten Known Vulnerabilities hervor. Bemerkenswert ist eine Sicherheitslücke, die im seit geraumer Zeit mitinstallierten Mozilla Maintenance Service (Mozilla Wartungsservice) steckt. Er ist nur für die Windows-Plattform verfügbar. Dieser Service wird von Mozilla genutzt, damit der Anwender bei einer Aktualisierung der Software unter Windows Vista, 7 und 8 nicht mehr auf den Ja-Knopf der Benutzerkontensteuerung (User Account Control, UAC) drücken muss, um die Aktualisierung durchzuführen. Damit sind stille Installationen möglich.

Anzeige

Die Sicherheitslücke selbst bekommt nur die Einstufung "hoch". Das liegt nicht an den mangelnden Möglichkeiten, die die Sicherheitslücke einem Angreifer bietet, sondern an dem Umstand, dass die Lücke von einem lokalen Programm ausgenutzt werden muss. Eine bereits vorhandene Schadsoftware kann den Maintenance Service nutzen, um sich höhere Rechte zu erschleichen. Ein Angreifer kann danach tief ins System eingreifen. Ein sauberer Rechner kann darüber nicht aus der Ferne angegriffen werden, da eine Webseite, die den Anwender angreift, nicht an den Wartungsservice herankommt.

In Firefox und Thunderbird stecken allerdings andere Sicherheitslücken, die eine Ausführung von Code erlauben und auch andere Betriebssysteme außer Windows betreffen. Mozilla listet drei gefährliche Sicherheitslücken für Firefox und zumindest in der Theorie auch drei für Thunderbird. Die Entwickler geben allerdings an, dass zwei der Sicherheitslücken im Mailprogramm nicht durch eine E-Mail ausgenutzt werden können.

Die Sicherheitsupdates sind für verschiedene Mozilla-Programme erschienen. Wer dem Rapid-Release-Cycle folgt, kann Firefox 21 und Thunderbird 17.0.6 herunterladen. Über die Neuerungen von Firefox 21 und dessen h.264-Unterstützung informiert ein weiterer Artikel. Für Unternehmen stehen Firefox 17.0.6esr und Thunderbird 17.0.6esr neu als herunterladbare Pakete bereit.


eye home zur Startseite
S-Talker 15. Mai 2013

Ein ESR Release obwohl es ohnehin keine neue Major geben wird und generell nur noch Bugs...

as (Golem.de) 15. Mai 2013

Hallo, das ist doch bei Sicherheitslücken häufig so. Die Sicherheitslücken wurden erst...

Kommentieren



Anzeige

  1. IT Domain Architect (m/w) für Business Architecture und Design
    Allianz Managed Operations & Services SE, München
  2. Ingenieur Verfahrenstechnik / Wirtschaftsingenieur / Mathematiker (m/w)
    Raffinerie Heide GmbH, Hemmingstedt
  3. (Junior) Technical Consultant Automotive Vernetzte Dienste (m/w)
    T-Systems on site services GmbH, München, Gaimersheim, Leinfelden-Echterdingen
  4. Projektingenieur/in im Bereich Computer System Validierung (CSV)
    Valicare GmbH, Frankfurt

Detailsuche



Anzeige
Hardware-Angebote
  1. ALLE NVIDIA GeForce GTX 970 ab sofort 25 Euro günstiger
  2. Bis zu 100 Euro bei Asus-Notebooks sparen
  3. GeForce GTX 1070 bei Caseking
    (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)

Weitere Angebote


Folgen Sie uns
       


  1. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  2. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  3. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  4. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  5. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  6. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  7. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  8. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  9. Google

    Livestreaming direkt aus der Youtube-App

  10. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Das wird die EU retten!

    teenriot* | 16:01

  2. Re: Warum ist Eyeo gut, weil Adblocker gut sind?

    Vanger | 16:00

  3. Re: ich finde es widerlich ...

    Moffis | 16:00

  4. Endlich...

    MD94 | 15:53

  5. Re: Was ich irrsinnig finde:

    teenriot* | 15:52


  1. 14:45

  2. 13:59

  3. 13:32

  4. 10:00

  5. 09:03

  6. 17:47

  7. 17:01

  8. 16:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel