Abo
  • IT-Karriere:

Firefox-Sicherheitslücken: Angreifer hatte Zugriff auf Mozilla-Bugtracker

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

Artikel veröffentlicht am , Hanno Böck
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken.
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla)

Einem Angreifer ist es offenbar gelungen, mit Hilfe eines gehackten Accounts für den Mozilla-Bugtracker Informationen über noch nicht veröffentlichte Sicherheitslücken zu erhalten. Das teilte Mozilla-Entwickler Richard Barnes in einem Blogeintrag mit. Der Angreifer hatte offenbar mindestens ein Jahr Zugriff auf den Bugtracker.

Zusammenhang mit PDF-Exploit vermutet

Stellenmarkt
  1. Eppendorf AG, Jülich
  2. Universität Passau, Passau

Im August hatte Mozilla erklärt, dass Unbekannte eine Sicherheitslücke im PDF-Viewer von Firefox ausgenutzt hätten. Ein Werbebanner auf einer russischen Webseite enthielt einen Exploit, der mittels dieser Lücke versuchte, Daten von Nutzern zu stehlen. Laut Barnes geht Mozilla davon aus, dass ein Zusammenhang zwischen dem gehackten Bugtracker-Account und dem PDF-Exploit besteht.

Mozilla verwendet zur Verwaltung seiner Bugreports eine selbst entwickelte Software namens Bugzilla. Während normale Bugreports jeder öffentlich sehen kann, werden sicherheitskritische Bugs vorläufig gesperrt. Nur wer die entsprechenden Rechte hat kann die Informationen dazu einsehen. Erst eine Weile, nachdem eine Sicherheitslücke gefixt wurde, werden diese Bugreports öffentlich sichtbar.

Update behebt alle dem Angreifer bekannten Sicherheitslücken

In einer FAQ schreibt Mozilla, dass der Angreifer Lesezugriff auf 185 nicht öffentliche Fehlerberichte hatte. Bei 53 davon handelte es sich um kritische Sicherheitslücken, 22 betrafen als weniger kritisch eingestufte Lücken. Die übrigen 110 Fehler waren keine Sicherheitslücken, sie waren aus anderen Gründen nicht öffentlich. Von den 53 kritischen Fehlern waren 43 bereits behoben, als der Angreifer Zugriff auf sie erhielt. Am 27. August hatte Firefox ein Update veröffentlicht, das sämtliche Lücken, über die der Angreifer Informationen lesen konnte, behob.

Der Mozilla-Entwickler, dessen Account gehackt wurde, hatte offenbar hierfür ein Passwort genutzt, das auch auf einer anderen Webseite zum Einsatz kam. Auf dieser Webseite kam es zu einem Datenleck, dadurch konnte der Angreifer an das Passwort gelangen. Laut der FAQ hatte der Angreifer seit September 2014 definitiv Zugriff auf den Account, einige Hinweise deuten darauf hin, dass der erste Zugriff bereits ein Jahr davor stattgefunden hatte.

Zwei-Faktor-Authentifizierung, neue Passwörter und detailierte Rechteverwaltung

Mozilla will künftig derartige Angriffe verhindern, indem alle Nutzer mit priviligierten Rechten eine Zwei-Faktor-Authentifizierung nutzen müssen. Weiterhin müssen alle priviligierten Bugzilla-Nutzer umgehend ihr Passwort ändern. In Zukunft soll außerdem eine detailiertere Rechteverwaltung zum Einsatz kommen, so dass ein einzelner gehackter Account weniger Informationen preisgibt.

Der Mozilla-Bugtracker bietet Nutzern die Möglichkeit, über Änderungen in ihren Bugs per Mail informiert zu werden. Bereits jetzt ist es so, dass Informationen über sicherheitskritische Bugs dabei nur PGP-verschlüsselt verschickt werden.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 344,00€

BLi8819 07. Sep 2015

Dennoch muss die zweite Authentifizierung gegen Brute Force sicher sein.

M.P. 07. Sep 2015

Ist ja einee Grundregel, die man beherzigen soll, und nicht z. B. das Chat-Portal...

Kernel der Frosch 06. Sep 2015

Bis heute ist der PDF-Viewer des Firefox ergonomisch und performance-mäßig ein...


Folgen Sie uns
       


Teamfight Tactics - Trailer (Gameplay)

Die Helden kämpfen automatisch, trotzdem sind Dota Unerlords und League of Legends: TeamfightTactics richtig spannende Games - die Golem.de im Video ausprobiert hat.

Teamfight Tactics - Trailer (Gameplay) Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

    •  /