Abo
  • Services:
Anzeige
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken.
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla)

Firefox-Sicherheitslücken: Angreifer hatte Zugriff auf Mozilla-Bugtracker

Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken.
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla)

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

Einem Angreifer ist es offenbar gelungen, mit Hilfe eines gehackten Accounts für den Mozilla-Bugtracker Informationen über noch nicht veröffentlichte Sicherheitslücken zu erhalten. Das teilte Mozilla-Entwickler Richard Barnes in einem Blogeintrag mit. Der Angreifer hatte offenbar mindestens ein Jahr Zugriff auf den Bugtracker.

Anzeige

Zusammenhang mit PDF-Exploit vermutet

Im August hatte Mozilla erklärt, dass Unbekannte eine Sicherheitslücke im PDF-Viewer von Firefox ausgenutzt hätten. Ein Werbebanner auf einer russischen Webseite enthielt einen Exploit, der mittels dieser Lücke versuchte, Daten von Nutzern zu stehlen. Laut Barnes geht Mozilla davon aus, dass ein Zusammenhang zwischen dem gehackten Bugtracker-Account und dem PDF-Exploit besteht.

Mozilla verwendet zur Verwaltung seiner Bugreports eine selbst entwickelte Software namens Bugzilla. Während normale Bugreports jeder öffentlich sehen kann, werden sicherheitskritische Bugs vorläufig gesperrt. Nur wer die entsprechenden Rechte hat kann die Informationen dazu einsehen. Erst eine Weile, nachdem eine Sicherheitslücke gefixt wurde, werden diese Bugreports öffentlich sichtbar.

Update behebt alle dem Angreifer bekannten Sicherheitslücken

In einer FAQ schreibt Mozilla, dass der Angreifer Lesezugriff auf 185 nicht öffentliche Fehlerberichte hatte. Bei 53 davon handelte es sich um kritische Sicherheitslücken, 22 betrafen als weniger kritisch eingestufte Lücken. Die übrigen 110 Fehler waren keine Sicherheitslücken, sie waren aus anderen Gründen nicht öffentlich. Von den 53 kritischen Fehlern waren 43 bereits behoben, als der Angreifer Zugriff auf sie erhielt. Am 27. August hatte Firefox ein Update veröffentlicht, das sämtliche Lücken, über die der Angreifer Informationen lesen konnte, behob.

Der Mozilla-Entwickler, dessen Account gehackt wurde, hatte offenbar hierfür ein Passwort genutzt, das auch auf einer anderen Webseite zum Einsatz kam. Auf dieser Webseite kam es zu einem Datenleck, dadurch konnte der Angreifer an das Passwort gelangen. Laut der FAQ hatte der Angreifer seit September 2014 definitiv Zugriff auf den Account, einige Hinweise deuten darauf hin, dass der erste Zugriff bereits ein Jahr davor stattgefunden hatte.

Zwei-Faktor-Authentifizierung, neue Passwörter und detailierte Rechteverwaltung

Mozilla will künftig derartige Angriffe verhindern, indem alle Nutzer mit priviligierten Rechten eine Zwei-Faktor-Authentifizierung nutzen müssen. Weiterhin müssen alle priviligierten Bugzilla-Nutzer umgehend ihr Passwort ändern. In Zukunft soll außerdem eine detailiertere Rechteverwaltung zum Einsatz kommen, so dass ein einzelner gehackter Account weniger Informationen preisgibt.

Der Mozilla-Bugtracker bietet Nutzern die Möglichkeit, über Änderungen in ihren Bugs per Mail informiert zu werden. Bereits jetzt ist es so, dass Informationen über sicherheitskritische Bugs dabei nur PGP-verschlüsselt verschickt werden.


eye home zur Startseite
BLi8819 07. Sep 2015

Dennoch muss die zweite Authentifizierung gegen Brute Force sicher sein.

M.P. 07. Sep 2015

Ist ja einee Grundregel, die man beherzigen soll, und nicht z. B. das Chat-Portal...

Kernel der Frosch 06. Sep 2015

Bis heute ist der PDF-Viewer des Firefox ergonomisch und performance-mäßig ein...



Anzeige

Stellenmarkt
  1. HMS Industrial Networks GmbH, Karlsruhe
  2. FMB-Blickle GmbH, Villingen-Schwenningen
  3. Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
  4. über duerenhoff GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)
  2. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)

Folgen Sie uns
       


  1. VBB Fahrcard

    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

  2. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  3. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  4. Smach Z

    PC-Handheld nutzt Ryzen V1000

  5. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  6. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  7. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild

  8. Gigabit

    Swisscom führt neue Mobilfunkgeneration 5G schon 2018 ein

  9. Bpfilter

    Linux-Kernel könnte weitere Firewall-Technik bekommen

  10. Media Broadcast

    Freenet TV kommt auch über Satellit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Noch nie einen Fahrer gehabt der eine Karte...

    Schnurrbernd | 01:37

  2. So und nur so!

    Vögelchen | 01:28

  3. Re: Was ist mit Salt?

    corruption | 01:20

  4. Re: Um die Besucher brauchen die sich keine...

    bentol | 01:20

  5. Re: Meine Ansicht zu dem Ganzen:

    p4m | 01:18


  1. 18:21

  2. 18:09

  3. 18:00

  4. 17:45

  5. 17:37

  6. 17:02

  7. 16:25

  8. 16:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel