Abo
  • IT-Karriere:

Firefox-Sicherheitslücken: Angreifer hatte Zugriff auf Mozilla-Bugtracker

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

Artikel veröffentlicht am , Hanno Böck
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken.
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla)

Einem Angreifer ist es offenbar gelungen, mit Hilfe eines gehackten Accounts für den Mozilla-Bugtracker Informationen über noch nicht veröffentlichte Sicherheitslücken zu erhalten. Das teilte Mozilla-Entwickler Richard Barnes in einem Blogeintrag mit. Der Angreifer hatte offenbar mindestens ein Jahr Zugriff auf den Bugtracker.

Zusammenhang mit PDF-Exploit vermutet

Stellenmarkt
  1. Horváth & Partners Management Consultants, München, Hamburg, Berlin, Frankfurt am Main, Stuttgart, Düsseldorf
  2. Zweckverband Bodensee-Wasserversorgung, Stuttgart

Im August hatte Mozilla erklärt, dass Unbekannte eine Sicherheitslücke im PDF-Viewer von Firefox ausgenutzt hätten. Ein Werbebanner auf einer russischen Webseite enthielt einen Exploit, der mittels dieser Lücke versuchte, Daten von Nutzern zu stehlen. Laut Barnes geht Mozilla davon aus, dass ein Zusammenhang zwischen dem gehackten Bugtracker-Account und dem PDF-Exploit besteht.

Mozilla verwendet zur Verwaltung seiner Bugreports eine selbst entwickelte Software namens Bugzilla. Während normale Bugreports jeder öffentlich sehen kann, werden sicherheitskritische Bugs vorläufig gesperrt. Nur wer die entsprechenden Rechte hat kann die Informationen dazu einsehen. Erst eine Weile, nachdem eine Sicherheitslücke gefixt wurde, werden diese Bugreports öffentlich sichtbar.

Update behebt alle dem Angreifer bekannten Sicherheitslücken

In einer FAQ schreibt Mozilla, dass der Angreifer Lesezugriff auf 185 nicht öffentliche Fehlerberichte hatte. Bei 53 davon handelte es sich um kritische Sicherheitslücken, 22 betrafen als weniger kritisch eingestufte Lücken. Die übrigen 110 Fehler waren keine Sicherheitslücken, sie waren aus anderen Gründen nicht öffentlich. Von den 53 kritischen Fehlern waren 43 bereits behoben, als der Angreifer Zugriff auf sie erhielt. Am 27. August hatte Firefox ein Update veröffentlicht, das sämtliche Lücken, über die der Angreifer Informationen lesen konnte, behob.

Der Mozilla-Entwickler, dessen Account gehackt wurde, hatte offenbar hierfür ein Passwort genutzt, das auch auf einer anderen Webseite zum Einsatz kam. Auf dieser Webseite kam es zu einem Datenleck, dadurch konnte der Angreifer an das Passwort gelangen. Laut der FAQ hatte der Angreifer seit September 2014 definitiv Zugriff auf den Account, einige Hinweise deuten darauf hin, dass der erste Zugriff bereits ein Jahr davor stattgefunden hatte.

Zwei-Faktor-Authentifizierung, neue Passwörter und detailierte Rechteverwaltung

Mozilla will künftig derartige Angriffe verhindern, indem alle Nutzer mit priviligierten Rechten eine Zwei-Faktor-Authentifizierung nutzen müssen. Weiterhin müssen alle priviligierten Bugzilla-Nutzer umgehend ihr Passwort ändern. In Zukunft soll außerdem eine detailiertere Rechteverwaltung zum Einsatz kommen, so dass ein einzelner gehackter Account weniger Informationen preisgibt.

Der Mozilla-Bugtracker bietet Nutzern die Möglichkeit, über Änderungen in ihren Bugs per Mail informiert zu werden. Bereits jetzt ist es so, dass Informationen über sicherheitskritische Bugs dabei nur PGP-verschlüsselt verschickt werden.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 80,90€ + Versand
  3. 294€

BLi8819 07. Sep 2015

Dennoch muss die zweite Authentifizierung gegen Brute Force sicher sein.

M.P. 07. Sep 2015

Ist ja einee Grundregel, die man beherzigen soll, und nicht z. B. das Chat-Portal...

Kernel der Frosch 06. Sep 2015

Bis heute ist der PDF-Viewer des Firefox ergonomisch und performance-mäßig ein...


Folgen Sie uns
       


Google Nest Hub im Hands on

Ende Mai 2019 bringt Google den Nest Hub auf den deutschen Markt. Es ist das erste smarte Display direkt von Google. Es kann dank Google Assistant mit der Stimme bedient werden und hat zusätzlich einen 7 Zoll großen Touchscreen. Darauf laufen Youtube-Videos auf Zuruf. Der Nest Hub erscheint für 130 Euro.

Google Nest Hub im Hands on Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    Vernetztes Fahren: Wer hat uns verraten? Autodaten
    Vernetztes Fahren
    Wer hat uns verraten? Autodaten

    An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
    Eine Analyse von Friedhelm Greis

    1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
    2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
    3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

      •  /