Abo
  • Services:
Anzeige
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers.
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers. (Bild: Mozilla)

Security: Firefox-Schwachstelle erlaubt Auslesen lokaler Daten

Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers.
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers. (Bild: Mozilla)

Über einen Fehler im PDF-Viewer von Firefox können Unbefugte lokale Dateien auslesen. Die Schwachstelle ist inzwischen behoben, Updates sollten bald verfügbar sein. Der Fehler wurde aber bereits ausgenutzt.

Anzeige

In aktuellen Versionen des Firefox-Browsers mit integriertem PDF-Viewer ist ein Fehler entdeckt worden, der bereits von Unbekannten ausgenutzt wurde. Über die Schwachstelle lassen sich lokale Dateien auslesen und auf einen externen Server hochladen. Mozilla hat den Fehler bereits behoben. Anwendern wird dringend geraten, Updates einzuspielen, denn der Fehler wurde bereits aktiv ausgenutzt.

Unbekannte haben ein Exploit der Schwachstelle über eine Anzeige auf einer russischen Webseite verbreitet. Der Schadcode liest unter Windows etwa Konfigurationsdateien für Subversion, s3browser sowie Filezilla und andere FTP-Clients aus. Unter Linux versuche die Malware, die Passwortdatei /etc/passwd, Benutzereinstellungen für SSH sowie Verlaufsdaten für die Bash und die Datenbanken MySQL sowie PostgreSQL auszulesen, berichtet Mozilla-Sicherheitsexperte Daniel Veditz in einem Blogeintrag. Dieser spezielle Exploit lasse zwar Mac-Nutzer außen vor, diese Firefox-Version sei aber ebenfalls für den Angriff anfällig. Veditz rät Nutzern, die Passwörter und Schlüssel auszutauschen. Der Exploit hinterlasse keinerlei Spuren auf dem angegriffenen Rechner.

Updates bereits verfügbar

Der Fehler wurde in der Umsetzung der sogenannten Same Origin Policy der Javascript-Implementierung des Browsers entdeckt. Normalerweise sorgt diese Sicherheitsbarriere dafür, dass nur Javascript-Code ausgeführt werden darf, dessen Herkunft validiert wurde. Im PDF-Viewer war diese Herkunftsprüfung offenbar nicht korrekt umgesetzt. So konnten Angreifer zwar nicht beliebigen Javascript-Code, wohl aber Schadcode im Kontext lokaler Dateien ausführen und so aus der Sandbox ausbrechen.

Wer die Desktopversion von Firefox verwendet, sollte auf Version 39.0.3 beziehungsweise ESR 38.1.1 aktualisieren. Das Update wird seit heute Vormittag auch automatisch verteilt. Die Android-Version von Firefox enthält keinen integrierten PDF-Viewer und ist deshalb von der Schwachstelle nicht betroffen. Möglicherweise seien Nutzer von Adblockern ebenfalls vor dem Exploit geschützt, schreibt Veditz. Welche Adblocker-Software und welche entsprechenden Filter gesetzt werden müssten, sagt Veditz aber nicht.


eye home zur Startseite
Lala Satalin... 08. Aug 2015

+1000

JouMxyzptlk 08. Aug 2015

Oh bitte, was ist denn das für ein klugscheißen? Realität: Die Kunden machen die...

Anonymer Nutzer 08. Aug 2015

Ist eigentlich nur vom PDF-Viewer abhängig. Hat dein "TorBrowser" einen PDF-Viewer,dann...



Anzeige

Stellenmarkt
  1. IHK für München und Oberbayern, München
  2. Thalia Bücher GmbH, Münster
  3. ETAS GmbH, Stuttgart
  4. KV Telematik GmbH, Berlin


Anzeige
Hardware-Angebote
  1. ab 232,90€ bei Alternate gelistet
  2. ab 649,90€
  3. (Core i5-7600K + Asus GTX 1060 Dual OC)

Folgen Sie uns
       


  1. SD

    Analogabschaltung kommt auch bei Satellitenfernsehen

  2. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  3. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  4. Intel

    Edison-Module und Arduino-Board werden eingestellt

  5. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung

  6. Markenrecht

    Apple verhindert Birnen-Logo

  7. Syberia 3 im Test

    Kate Walker erlebt den Absturz

  8. Space Launch System

    Nasa muss Erstflug der neuen Trägerrakete erneut verschieben

  9. CEO-Fraud

    Google und Facebook um 100 Millionen US-Dollar betrogen

  10. TKG-Änderungsgesetz

    Regierung will keinen Schutz vor Low-Speed und Abzocke



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

Creators Update im Test: Erhöhter Reifegrad für Windows 10
Creators Update im Test
Erhöhter Reifegrad für Windows 10
  1. Windows 10 Fehler unterbricht Verteilung des Creators Update teilweise
  2. Microsoft Zwei große Updates pro Jahr für Windows 10
  3. Creators Update Game Mode macht Spiele runder und Windows 10 ruckelig

Miniatur Wunderland: Schiffe versenken die schönsten Pläne
Miniatur Wunderland
Schiffe versenken die schönsten Pläne
  1. Transport Üo, der fahrbare Ball
  2. Transport Sea Bubbles testet foilendes Elektroboot
  3. Verkehr Eine Ampel mit Kamera und Gesichtserkennung

  1. Re: Stadtautos verbieten

    Berner Rösti | 16:02

  2. Re: Wartungsmodems

    Ovaron | 16:00

  3. Re: Solche Preisverleihungen immer ein Witz

    medium_quelle | 16:00

  4. Re: Mal ganz ehrlich:

    Berner Rösti | 16:00

  5. Re: Wenn der Kunde Äpfel und Birnen nicht...

    david_rieger | 15:57


  1. 16:10

  2. 16:00

  3. 15:26

  4. 15:18

  5. 14:51

  6. 14:19

  7. 14:00

  8. 13:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel