Abo
  • IT-Karriere:

Firefox: Mozilla schließt zweite Zero-Day-Lücke wegen Angriffen

Firefox-Hersteller Mozilla hat binnen weniger Tage eine zweite schwere Sicherheitslücke behoben. Die Lücken sind offenbar beide für einen Phishing-Angriff auf Mitarbeiter einer Kryptobörse genutzt worden.

Artikel veröffentlicht am ,
Mozilla hat binnen weniger Tage eine zweite Sicherheitslücke im Firefox geschlossen.
Mozilla hat binnen weniger Tage eine zweite Sicherheitslücke im Firefox geschlossen. (Bild: Mathias Appel/CC0 1.0)

Nur wenige Tage nach dem Update für eine erste kritische Sicherheitslücke hat Mozilla nun auch eine zweite Sicherheitslücke (CVE-2019-11708) behoben, die aktiv für einen Angriff ausgenutzt worden ist. Die stabile Firefox-Version 67.0.4 sowie Firefox ESR 60.7.2 schließen nun auch die zweite Lücke. Die Sicherheitslücken sind offenbar beide in Kombination für einen Angriff auf die Mitarbeiter der Kryptowährungsbörse Coinbase genutzt worden.

Stellenmarkt
  1. Bundesanstalt für Post und Telekommunikation Deutsche Bundespost, Bonn, Stuttgart
  2. über experteer GmbH, Köln, Düsseldorf, Hannover, Frankfurt, München

Das berichtet der Security-Verantwortliche von Coinbase, Philip Martin, auf Twitter. Da schon die erste Lücke laut Mozilla von Coinbase gemeldet wurde, ist es wahrscheinlich, dass die Angreifer die Lücke dort ausgenutzt haben. Offenbar gilt das aber nicht für die Nutzer des Dienstes, sondern für dessen Mitarbeiter.

Zwei Lücken für einen Angriff

Martin schreibt dazu: "Am Montag hat Coinbase einen Versuch eines Angreifers entdeckt und blockiert, die gemeldete Zero-Day-Sicherheitslücke mit einer separaten Zero-Day-Sicherheitslücke als Fluchtversuch zum Ausbruch aus der Firefox-Sandbox zu nutzen, um Mitarbeiter von Coinbase anzugreifen".

Das IT-Magazin ZDnet zitiert den Google-Sicherheitsforscher Samuel Groß damit, dass dieser die von ihm gefundene erste Lücke bereits am 15. April an Mozilla gemeldet habe. Demnach habe die erste Lücke das Ausführen von Code in dem Browser ermöglicht. Über einen separaten Sandbox-Ausbruch könnte dann auch weiterer Code auf dem Betriebssystem der Angegriffenen ausgeführt werden.

Die beiden Sicherheitslücken sind nun also offenbar wie von Groß beschrieben kombiniert worden. Die zweite, nun geschlossene Sicherheitslücke ist ein Fehler im Verarbeiten der Prompt:Open-Nachrichten der Interprozesskommunikation des Firefox zwischen Kind- und Elternprozess.

Der nicht in einer Sandbox laufende Elternprozess öffnet dabei beliebige Webinhalte, die von einem kompromittierten Kindprozess gesteuert werden können. So lässt sich die erste Sicherheitslücke dann eben in einem Prozess ohne Sandbox ausnutzen, um beliebigen Schadcode auf dem System der Opfer einzuschleusen und auszuführen.

Coinbase verspricht Transparenz

Der Coinbase-Sicherheitsforscher Martin schreibt, dass der gesamte Angriff blockiert und aufgearbeitet worden sei. Dabei seien nicht nur die Lücken an Mozilla gemeldet worden, Coinbase habe auch den Schadcode und die dafür genutzte Infrastruktur näher untersucht. Gemeinsam mit anderen Organisationen sollen die Angreifer so unschädlich gemacht werden.

Darüber hinaus sei Coinbase wohl nicht die einzige angegriffene Kryptowährungsbörse. Das Team hat die verwendeten Schadcode-Dateien außerdem bei dem Dienst Virustotal hochgeladen, damit auch andere die Malware untersuchen und leichter überprüfen können, ob sie selbst von diesem speziellen Angriff betroffen sind. Martin verspricht darüber hinaus einen detaillierten Blogeintrag für kommende Woche, in dem der Angriff beschrieben werden soll.

Laut ZDnet haben die Angreifer versucht, die Coinbase-Mitarbeiter mittels einer Phishing-E-Mail auf eine speziell präparierte Webseite zu locken. Der eingeschleuste Schadcode hätte dann etwa Zugangsdaten oder Ähnliches abgreifen können. Der Angriff sei sowohl für Windows wie auch für MacOS gedacht gewesen.

Ob die Angreifer die erste kritische Sicherheitslücke selbst und unabhängig von Samuel Groß entdeckt haben, ist derzeit nicht bekannt. Bei einem Angriff auf den Bugtracker von Mozilla im Jahr 2015 konnte ein Angreifer Informationen zu noch nicht öffentlichen Sicherheitslücken und anderen Fehlern einsehen.

Das Unternehmen hat danach diverse Sicherheitsvorkehrungen getroffen und etwa eine Zwei-Faktor-Authentifizierung für alle Nutzer mit privilegierten Rechten eingeführt. Angesichts dessen ist es eher unwahrscheinlich, dass sich ein Vorfall wie 2015 wiederholt hat und die Coinbase-Angreifer ihre Informationen zu den Sicherheitslücken durch einen Zugriff auf den Bugtracker von Mozilla erhalten haben.



Anzeige
Spiele-Angebote
  1. (-78%) 11,00€
  2. 44,99€
  3. 43,99€
  4. 4,31€

Folgen Sie uns
       


Ghost Recon Breakpoint Gameplay

Elitesoldaten auf einer Insel? Dabei kommt zumindest in Ghost Recon Breakpoint kein Urlaub heraus, sondern ein Kampf zwischen zwei letztlich gleich starken Fraktionen - unser Können entscheidet!

Ghost Recon Breakpoint Gameplay Video aufrufen
HP Pavilion Gaming 15 im Test: Günstig gut gamen
HP Pavilion Gaming 15 im Test
Günstig gut gamen

Mit dem Pavilion Gaming 15 bietet HP für 1.000 Euro ein Spiele-Notebook an, das für aktuelle Titel genügend 1080p-Leistung hat. Auch Bildschirm und Ports taugen, dafür nervt uns die voreingestellte 30-fps-Akku-Drossel.
Ein Test von Marc Sauter

  1. Gaming-Notebooks Asus ROG mit Core i9 und fixen oder farbstarken Displays

Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

    •  /