Abo
  • Services:
Anzeige
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Sicherheitslücke: Rechteerschleichung über den Mozilla Maintenance Service

Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Der Mozilla Maintenance Service von Firefox und Thunderbird lässt sich von lokaler Schadsoftware zur Erlangung höherer Rechte ausnutzen. Die Sicherheitslücke kann nur über Umwege ausgenutzt werden. Andere Lücken sind allerdings kritisch und sollten vom Anwender durch Updates beseitigt werden.

In den Mozilla-Programmen Firefox und Thunderbird stecken mehrere, teils gefährliche Sicherheitslücken. Das geht aus den aktualisierten Known Vulnerabilities hervor. Bemerkenswert ist eine Sicherheitslücke, die im seit geraumer Zeit mitinstallierten Mozilla Maintenance Service (Mozilla Wartungsservice) steckt. Er ist nur für die Windows-Plattform verfügbar. Dieser Service wird von Mozilla genutzt, damit der Anwender bei einer Aktualisierung der Software unter Windows Vista, 7 und 8 nicht mehr auf den Ja-Knopf der Benutzerkontensteuerung (User Account Control, UAC) drücken muss, um die Aktualisierung durchzuführen. Damit sind stille Installationen möglich.

Anzeige

Die Sicherheitslücke selbst bekommt nur die Einstufung "hoch". Das liegt nicht an den mangelnden Möglichkeiten, die die Sicherheitslücke einem Angreifer bietet, sondern an dem Umstand, dass die Lücke von einem lokalen Programm ausgenutzt werden muss. Eine bereits vorhandene Schadsoftware kann den Maintenance Service nutzen, um sich höhere Rechte zu erschleichen. Ein Angreifer kann danach tief ins System eingreifen. Ein sauberer Rechner kann darüber nicht aus der Ferne angegriffen werden, da eine Webseite, die den Anwender angreift, nicht an den Wartungsservice herankommt.

In Firefox und Thunderbird stecken allerdings andere Sicherheitslücken, die eine Ausführung von Code erlauben und auch andere Betriebssysteme außer Windows betreffen. Mozilla listet drei gefährliche Sicherheitslücken für Firefox und zumindest in der Theorie auch drei für Thunderbird. Die Entwickler geben allerdings an, dass zwei der Sicherheitslücken im Mailprogramm nicht durch eine E-Mail ausgenutzt werden können.

Die Sicherheitsupdates sind für verschiedene Mozilla-Programme erschienen. Wer dem Rapid-Release-Cycle folgt, kann Firefox 21 und Thunderbird 17.0.6 herunterladen. Über die Neuerungen von Firefox 21 und dessen h.264-Unterstützung informiert ein weiterer Artikel. Für Unternehmen stehen Firefox 17.0.6esr und Thunderbird 17.0.6esr neu als herunterladbare Pakete bereit.


eye home zur Startseite
S-Talker 15. Mai 2013

Ein ESR Release obwohl es ohnehin keine neue Major geben wird und generell nur noch Bugs...

as (Golem.de) 15. Mai 2013

Hallo, das ist doch bei Sicherheitslücken häufig so. Die Sicherheitslücken wurden erst...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Frankfurt am Main
  2. über Schultz & Partner Unternehmens- & Personalberatung, Bremen
  3. operational services GmbH & Co. KG, Stuttgart
  4. Radeberger Gruppe KG, Frankfurt am Main


Anzeige
Top-Angebote
  1. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)
  2. 79,90€ inkl. Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Zero G

    Schwerelos im Quadrocopter

  2. Streaming

    Youtube hat 1 Milliarde US-Dollar an Musikindustrie gezahlt

  3. US-Wahl 2016

    Nein, Big Data erklärt Donald Trumps Wahlsieg nicht

  4. Online-Hundefutter

    150.000 Euro Strafe wegen unerlaubter Telefonwerbung

  5. Huawei

    Vectoring mit 300 MBit/s wird in Deutschland angewandt

  6. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff

  7. Bugs in Encase

    Mit dem Forensik-Tool die Polizei hacken

  8. Autonomes Fahren

    Verbraucherschützer fordern "Algorithmen-TÜV"

  9. The Last Guardian im Test

    Gassi gehen mit einem computergesteuerten Riesenbiest

  10. E-Sport

    Cheats und Bots in Südkorea offenbar gesetzlich verboten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

  1. Re: Während die Nachbarländer dann schon...

    Faksimile | 20:38

  2. Re: Externes Gerät? Token?

    eXeler0n | 20:36

  3. ISO 26262

    PiranhA | 20:32

  4. Re: Dem Inginöör ist nichts zu schwöör!

    George99 | 20:29

  5. Re: TÜV sollte erst mal üben

    nicoledos | 20:21


  1. 18:49

  2. 17:38

  3. 17:20

  4. 16:42

  5. 15:05

  6. 14:54

  7. 14:50

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel