Abo
  • Services:

Schwachstelle: Yosemite schreibt Firefox-Eingaben mit

Unter Mac OS X 10.10 werden sämtliche Eingaben im Browser Firefox protokolliert. Mozilla spricht von einer schweren Schwachstelle, die in der aktuellen Version des Browsers geschlossen ist. Die Protokolldateien sind allgemein zugänglich und sollten gelöscht werden.

Artikel veröffentlicht am ,
Unter Mac OS X 10.10 werden sämtliche Eingaben in Firefox 33 protokolliert.
Unter Mac OS X 10.10 werden sämtliche Eingaben in Firefox 33 protokolliert. (Bild: Mozilla)

Sämtliche Eingaben im Firefox-Browser unter Mac OS X 10.10 alias Yosemite werden protokolliert. Die entsprechende Log-Datei wird im allgemein lesbaren Verzeichnis Tmp abgelegt. Die jetzt entdeckte Schwachstelle ist in Version 34 des Browsers geschlossen worden. Nutzer sollten die Protokolldatei löschen, nachdem der Browser aktualisiert wurde.

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim
  2. BWI GmbH, Bonn, Strausberg, Wilhelmshaven

Der Fehler tritt laut Mozilla nur unter Mac OS X 10.10 auf. Dort protokolliert das Core-Graphics-Framework sämtliche Eingaben in Firefox und Thunderbird mit. Die Protokolldatei mit dem Namen CGLog_firefox oder CGLog_thunderbird wird im /tmp-Ordner abgelegt, der von allen Anwendungen und Benutzern eingesehen werden kann. In der Datei werden auch private Daten abgelegt, darunter Namen oder Passwörter, die der Anwender in dem Browser eingibt.

Core Graphics schreibt mit

In Mac OS X 10.6 bis 10.9 sei die Protokollierung durch Core Graphics ausgeschaltet gewesen, obwohl sie verfügbar gewesen sei, heißt es in einem entsprechenden Blog-Eintrag. Alle Anwendungen, die die Speicherverwaltung Jemalloc verwenden, sind davon betroffen. Grund dafür sei eine fehlerhafte Initialisierung in Core Graphics. In Produkten von Mozilla sei die Protokollierung der Eingaben durch das Core-Graphics-Framework ausgeschaltet. In Mac OS X 10.10.2 Beta wurde offenbar die Protokollierung durch Apple wieder deaktiviert.

Über den Finder können die Dateien nicht aufgespürt werden. Stattdessen muss das Terminal geöffnet und dort zunächst der Befehl cd /tmp eingegeben werden. Mit ls -al lässt sich feststellen, ob die Protokolldateien vorhanden sind. Sie tragen den Präfix CGLog_firefox samt einer numerischen Zeichenfolge. Es könnten auch mehrere Dateien vorhanden sein. Mit rm -f Dateiname lassen sie sich löschen.

In Firefox 34, Firefox ESR 31.3 und Thunderbird 31.3 ist der Fehler behoben, der die Kennziffer CVE-2014-1595 erhalten hat. Unter Mac OS X wird Firefox standardmäßig automatisch im Hintergrund aktualisiert. Die Option lässt auch ausschalten.

Nachtrag vom 5. Dezember 2014, 18:10 Uhr

Wir haben den Text um eine Anleitung zur Löschung der Dateien ergänzt.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€
  3. 7,99€ inkl. FSK-18-Versand

quadronom 12. Dez 2014

Das startet ganz sicher NICHT den Finder mit Adminrechten....

Thaodan 08. Dez 2014

OS X blendet die normalen Unix Ordner wie tmp und var aus. Du wirst nur im terminal was...

Yes!Yes!Yes! 08. Dez 2014

die ich von einem Unternehmen wie Mozilla, dass jedes Jahr mehr als hundert Millionen...

jt (Golem.de) 05. Dez 2014

Besten Dank! Der Text wird ergänzt.


Folgen Sie uns
       


The Crew 2 - Fazit

The Crew 2 bietet zum Teil wahnwitzige Neuerungen, stolpert im Test aber trotzdem über alte Fehler.

The Crew 2 - Fazit Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Blackberry Key2 im Test: Ordentliches Tastatur-Smartphone mit zu vielen Schwächen
Blackberry Key2 im Test
Ordentliches Tastatur-Smartphone mit zu vielen Schwächen

Zwei Hauptkameras, 32 Tasten und viele Probleme: Beim Blackberry Key2 ist vieles besser als beim Keyone, unfertige Software macht dem neuen Tastatur-Smartphone aber zu schaffen. Im Testbericht verraten wir, was uns gut und was uns gar nicht gefallen hat.
Ein Test von Tobias Czullay

  1. Blackberry Key2 im Hands On Smartphone bringt verbesserte Tastatur und eine Dual-Kamera
  2. Blackberry Motion im Test Langläufer ohne Glanz

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

    •  /