• IT-Karriere:
  • Services:

Security: Firefox-Schwachstelle erlaubt Auslesen lokaler Daten

Über einen Fehler im PDF-Viewer von Firefox können Unbefugte lokale Dateien auslesen. Die Schwachstelle ist inzwischen behoben, Updates sollten bald verfügbar sein. Der Fehler wurde aber bereits ausgenutzt.

Artikel veröffentlicht am ,
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers.
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers. (Bild: Mozilla)

In aktuellen Versionen des Firefox-Browsers mit integriertem PDF-Viewer ist ein Fehler entdeckt worden, der bereits von Unbekannten ausgenutzt wurde. Über die Schwachstelle lassen sich lokale Dateien auslesen und auf einen externen Server hochladen. Mozilla hat den Fehler bereits behoben. Anwendern wird dringend geraten, Updates einzuspielen, denn der Fehler wurde bereits aktiv ausgenutzt.

Stellenmarkt
  1. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)
  2. über duerenhoff GmbH, Lahr

Unbekannte haben ein Exploit der Schwachstelle über eine Anzeige auf einer russischen Webseite verbreitet. Der Schadcode liest unter Windows etwa Konfigurationsdateien für Subversion, s3browser sowie Filezilla und andere FTP-Clients aus. Unter Linux versuche die Malware, die Passwortdatei /etc/passwd, Benutzereinstellungen für SSH sowie Verlaufsdaten für die Bash und die Datenbanken MySQL sowie PostgreSQL auszulesen, berichtet Mozilla-Sicherheitsexperte Daniel Veditz in einem Blogeintrag. Dieser spezielle Exploit lasse zwar Mac-Nutzer außen vor, diese Firefox-Version sei aber ebenfalls für den Angriff anfällig. Veditz rät Nutzern, die Passwörter und Schlüssel auszutauschen. Der Exploit hinterlasse keinerlei Spuren auf dem angegriffenen Rechner.

Updates bereits verfügbar

Der Fehler wurde in der Umsetzung der sogenannten Same Origin Policy der Javascript-Implementierung des Browsers entdeckt. Normalerweise sorgt diese Sicherheitsbarriere dafür, dass nur Javascript-Code ausgeführt werden darf, dessen Herkunft validiert wurde. Im PDF-Viewer war diese Herkunftsprüfung offenbar nicht korrekt umgesetzt. So konnten Angreifer zwar nicht beliebigen Javascript-Code, wohl aber Schadcode im Kontext lokaler Dateien ausführen und so aus der Sandbox ausbrechen.

Wer die Desktopversion von Firefox verwendet, sollte auf Version 39.0.3 beziehungsweise ESR 38.1.1 aktualisieren. Das Update wird seit heute Vormittag auch automatisch verteilt. Die Android-Version von Firefox enthält keinen integrierten PDF-Viewer und ist deshalb von der Schwachstelle nicht betroffen. Möglicherweise seien Nutzer von Adblockern ebenfalls vor dem Exploit geschützt, schreibt Veditz. Welche Adblocker-Software und welche entsprechenden Filter gesetzt werden müssten, sagt Veditz aber nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 1.699€ (Bestpreis mit Saturn, Vergleichspreis 1.939€)
  2. (aktuell u. a. Netzteile von be quiet! zu Bestpreisen)
  3. 47€
  4. (u. a. NieR Automata für 13,99€ und PSN Card 25 Euro [DE] für 21,99€ - Bestpreise!)

Lala Satalin... 08. Aug 2015

+1000

JouMxyzptlk 08. Aug 2015

Oh bitte, was ist denn das für ein klugscheißen? Realität: Die Kunden machen die...

Anonymer Nutzer 08. Aug 2015

Ist eigentlich nur vom PDF-Viewer abhängig. Hat dein "TorBrowser" einen PDF-Viewer,dann...


Folgen Sie uns
       


Apple TV Plus ausprobiert

Wir haben uns Apple TV+ auf einem Apple TV angeschaut. Apples eigener Abostreamingdienst lässt viele Komfortfunktionen vermissen.

Apple TV Plus ausprobiert Video aufrufen
Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Film: Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
Film
Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten

Drachen löschen die Menschheit fast aus, Aliens löschen die Menschheit fast aus, Monster löschen die Menschheit fast aus: Das Jahr 2020 ist in Spielfilmen nicht gerade heiter.
Von Peter Osteried

  1. Alien Im Weltall hört dich keiner schreien
  2. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?
  3. Gemini Man Überflüssiges Klonexperiment

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /