Abo
  • Services:
Anzeige
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken.
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla)

Firefox-Sicherheitslücken: Angreifer hatte Zugriff auf Mozilla-Bugtracker

Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken.
Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla)

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

Anzeige

Einem Angreifer ist es offenbar gelungen, mit Hilfe eines gehackten Accounts für den Mozilla-Bugtracker Informationen über noch nicht veröffentlichte Sicherheitslücken zu erhalten. Das teilte Mozilla-Entwickler Richard Barnes in einem Blogeintrag mit. Der Angreifer hatte offenbar mindestens ein Jahr Zugriff auf den Bugtracker.

Zusammenhang mit PDF-Exploit vermutet

Im August hatte Mozilla erklärt, dass Unbekannte eine Sicherheitslücke im PDF-Viewer von Firefox ausgenutzt hätten. Ein Werbebanner auf einer russischen Webseite enthielt einen Exploit, der mittels dieser Lücke versuchte, Daten von Nutzern zu stehlen. Laut Barnes geht Mozilla davon aus, dass ein Zusammenhang zwischen dem gehackten Bugtracker-Account und dem PDF-Exploit besteht.

Mozilla verwendet zur Verwaltung seiner Bugreports eine selbst entwickelte Software namens Bugzilla. Während normale Bugreports jeder öffentlich sehen kann, werden sicherheitskritische Bugs vorläufig gesperrt. Nur wer die entsprechenden Rechte hat kann die Informationen dazu einsehen. Erst eine Weile, nachdem eine Sicherheitslücke gefixt wurde, werden diese Bugreports öffentlich sichtbar.

Update behebt alle dem Angreifer bekannten Sicherheitslücken

In einer FAQ schreibt Mozilla, dass der Angreifer Lesezugriff auf 185 nicht öffentliche Fehlerberichte hatte. Bei 53 davon handelte es sich um kritische Sicherheitslücken, 22 betrafen als weniger kritisch eingestufte Lücken. Die übrigen 110 Fehler waren keine Sicherheitslücken, sie waren aus anderen Gründen nicht öffentlich. Von den 53 kritischen Fehlern waren 43 bereits behoben, als der Angreifer Zugriff auf sie erhielt. Am 27. August hatte Firefox ein Update veröffentlicht, das sämtliche Lücken, über die der Angreifer Informationen lesen konnte, behob.

Der Mozilla-Entwickler, dessen Account gehackt wurde, hatte offenbar hierfür ein Passwort genutzt, das auch auf einer anderen Webseite zum Einsatz kam. Auf dieser Webseite kam es zu einem Datenleck, dadurch konnte der Angreifer an das Passwort gelangen. Laut der FAQ hatte der Angreifer seit September 2014 definitiv Zugriff auf den Account, einige Hinweise deuten darauf hin, dass der erste Zugriff bereits ein Jahr davor stattgefunden hatte.

Zwei-Faktor-Authentifizierung, neue Passwörter und detailierte Rechteverwaltung

Mozilla will künftig derartige Angriffe verhindern, indem alle Nutzer mit priviligierten Rechten eine Zwei-Faktor-Authentifizierung nutzen müssen. Weiterhin müssen alle priviligierten Bugzilla-Nutzer umgehend ihr Passwort ändern. In Zukunft soll außerdem eine detailiertere Rechteverwaltung zum Einsatz kommen, so dass ein einzelner gehackter Account weniger Informationen preisgibt.

Der Mozilla-Bugtracker bietet Nutzern die Möglichkeit, über Änderungen in ihren Bugs per Mail informiert zu werden. Bereits jetzt ist es so, dass Informationen über sicherheitskritische Bugs dabei nur PGP-verschlüsselt verschickt werden.


eye home zur Startseite
BLi8819 07. Sep 2015

Dennoch muss die zweite Authentifizierung gegen Brute Force sicher sein.

M.P. 07. Sep 2015

Ist ja einee Grundregel, die man beherzigen soll, und nicht z. B. das Chat-Portal...

Kernel der Frosch 06. Sep 2015

Bis heute ist der PDF-Viewer des Firefox ergonomisch und performance-mäßig ein...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Karlsruhe
  2. SSI Schäfer Noell GmbH, Giebelstadt, Obertshausen
  3. DRÄXLMAIER Group, Garching
  4. über JobLeads GmbH, Hamburg


Anzeige
Spiele-Angebote
  1. 4,99€
  2. ab 129,99€
  3. 16,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  2. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  3. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  4. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  5. Autonomes Fahren

    Der Truck lernt beim Fahren

  6. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  7. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  8. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  9. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  10. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: sehr clever ... MS

    FreiGeistler | 01:33

  2. Re: Erklärung für einen Kryptodepp

    freebyte | 01:28

  3. Ich habe es natürlich verkackt.

    __destruct() | 01:28

  4. Re: First World Problems

    picaschaf | 01:21

  5. Re: Anscheinend gibt es keine gesetzlichen Vorgaben.

    picaschaf | 01:17


  1. 20:21

  2. 11:57

  3. 09:02

  4. 18:02

  5. 17:43

  6. 16:49

  7. 16:21

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel