Abo
  • Services:

Firefox-Sicherheitslücken: Angreifer hatte Zugriff auf Mozilla-Bugtracker

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

Artikel veröffentlicht am , Hanno Böck
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken.
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla)

Einem Angreifer ist es offenbar gelungen, mit Hilfe eines gehackten Accounts für den Mozilla-Bugtracker Informationen über noch nicht veröffentlichte Sicherheitslücken zu erhalten. Das teilte Mozilla-Entwickler Richard Barnes in einem Blogeintrag mit. Der Angreifer hatte offenbar mindestens ein Jahr Zugriff auf den Bugtracker.

Zusammenhang mit PDF-Exploit vermutet

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Statistisches Bundesamt, Wiesbaden

Im August hatte Mozilla erklärt, dass Unbekannte eine Sicherheitslücke im PDF-Viewer von Firefox ausgenutzt hätten. Ein Werbebanner auf einer russischen Webseite enthielt einen Exploit, der mittels dieser Lücke versuchte, Daten von Nutzern zu stehlen. Laut Barnes geht Mozilla davon aus, dass ein Zusammenhang zwischen dem gehackten Bugtracker-Account und dem PDF-Exploit besteht.

Mozilla verwendet zur Verwaltung seiner Bugreports eine selbst entwickelte Software namens Bugzilla. Während normale Bugreports jeder öffentlich sehen kann, werden sicherheitskritische Bugs vorläufig gesperrt. Nur wer die entsprechenden Rechte hat kann die Informationen dazu einsehen. Erst eine Weile, nachdem eine Sicherheitslücke gefixt wurde, werden diese Bugreports öffentlich sichtbar.

Update behebt alle dem Angreifer bekannten Sicherheitslücken

In einer FAQ schreibt Mozilla, dass der Angreifer Lesezugriff auf 185 nicht öffentliche Fehlerberichte hatte. Bei 53 davon handelte es sich um kritische Sicherheitslücken, 22 betrafen als weniger kritisch eingestufte Lücken. Die übrigen 110 Fehler waren keine Sicherheitslücken, sie waren aus anderen Gründen nicht öffentlich. Von den 53 kritischen Fehlern waren 43 bereits behoben, als der Angreifer Zugriff auf sie erhielt. Am 27. August hatte Firefox ein Update veröffentlicht, das sämtliche Lücken, über die der Angreifer Informationen lesen konnte, behob.

Der Mozilla-Entwickler, dessen Account gehackt wurde, hatte offenbar hierfür ein Passwort genutzt, das auch auf einer anderen Webseite zum Einsatz kam. Auf dieser Webseite kam es zu einem Datenleck, dadurch konnte der Angreifer an das Passwort gelangen. Laut der FAQ hatte der Angreifer seit September 2014 definitiv Zugriff auf den Account, einige Hinweise deuten darauf hin, dass der erste Zugriff bereits ein Jahr davor stattgefunden hatte.

Zwei-Faktor-Authentifizierung, neue Passwörter und detailierte Rechteverwaltung

Mozilla will künftig derartige Angriffe verhindern, indem alle Nutzer mit priviligierten Rechten eine Zwei-Faktor-Authentifizierung nutzen müssen. Weiterhin müssen alle priviligierten Bugzilla-Nutzer umgehend ihr Passwort ändern. In Zukunft soll außerdem eine detailiertere Rechteverwaltung zum Einsatz kommen, so dass ein einzelner gehackter Account weniger Informationen preisgibt.

Der Mozilla-Bugtracker bietet Nutzern die Möglichkeit, über Änderungen in ihren Bugs per Mail informiert zu werden. Bereits jetzt ist es so, dass Informationen über sicherheitskritische Bugs dabei nur PGP-verschlüsselt verschickt werden.



Anzeige
Top-Angebote
  1. 259,00€
  2. (u. a. One 219,99€)
  3. 699€ (PCGH-Preisvergleich ab 755€)

BLi8819 07. Sep 2015

Dennoch muss die zweite Authentifizierung gegen Brute Force sicher sein.

M.P. 07. Sep 2015

Ist ja einee Grundregel, die man beherzigen soll, und nicht z. B. das Chat-Portal...

Kernel der Frosch 06. Sep 2015

Bis heute ist der PDF-Viewer des Firefox ergonomisch und performance-mäßig ein...


Folgen Sie uns
       


Dark Rock Pro TR4 - Test

Der Dark Rock Pro TR4 von Be quiet ist einer der wenigen Luftkühler für AMDs Threadripper-Prozessoren. Im Test schneidet er sehr gut ab, da die Leistung hoch und die Lautheit niedrig ausfällt. Bei der Montage und der RAM-Kompatibilität gibt es leichte Abzüge, dafür ist der schwarze Look einzigartig.

Dark Rock Pro TR4 - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

    •  /