Abo
  • Services:

Security: Firefox-Schwachstelle erlaubt Auslesen lokaler Daten

Über einen Fehler im PDF-Viewer von Firefox können Unbefugte lokale Dateien auslesen. Die Schwachstelle ist inzwischen behoben, Updates sollten bald verfügbar sein. Der Fehler wurde aber bereits ausgenutzt.

Artikel veröffentlicht am ,
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers.
Mozilla warnt vor einer Sicherheitslücke im PDF-Viewer des aktuellen Firefox-Browsers. (Bild: Mozilla)

In aktuellen Versionen des Firefox-Browsers mit integriertem PDF-Viewer ist ein Fehler entdeckt worden, der bereits von Unbekannten ausgenutzt wurde. Über die Schwachstelle lassen sich lokale Dateien auslesen und auf einen externen Server hochladen. Mozilla hat den Fehler bereits behoben. Anwendern wird dringend geraten, Updates einzuspielen, denn der Fehler wurde bereits aktiv ausgenutzt.

Stellenmarkt
  1. EDG AG, Frankfurt
  2. Eckelmann AG, Wiesbaden

Unbekannte haben ein Exploit der Schwachstelle über eine Anzeige auf einer russischen Webseite verbreitet. Der Schadcode liest unter Windows etwa Konfigurationsdateien für Subversion, s3browser sowie Filezilla und andere FTP-Clients aus. Unter Linux versuche die Malware, die Passwortdatei /etc/passwd, Benutzereinstellungen für SSH sowie Verlaufsdaten für die Bash und die Datenbanken MySQL sowie PostgreSQL auszulesen, berichtet Mozilla-Sicherheitsexperte Daniel Veditz in einem Blogeintrag. Dieser spezielle Exploit lasse zwar Mac-Nutzer außen vor, diese Firefox-Version sei aber ebenfalls für den Angriff anfällig. Veditz rät Nutzern, die Passwörter und Schlüssel auszutauschen. Der Exploit hinterlasse keinerlei Spuren auf dem angegriffenen Rechner.

Updates bereits verfügbar

Der Fehler wurde in der Umsetzung der sogenannten Same Origin Policy der Javascript-Implementierung des Browsers entdeckt. Normalerweise sorgt diese Sicherheitsbarriere dafür, dass nur Javascript-Code ausgeführt werden darf, dessen Herkunft validiert wurde. Im PDF-Viewer war diese Herkunftsprüfung offenbar nicht korrekt umgesetzt. So konnten Angreifer zwar nicht beliebigen Javascript-Code, wohl aber Schadcode im Kontext lokaler Dateien ausführen und so aus der Sandbox ausbrechen.

Wer die Desktopversion von Firefox verwendet, sollte auf Version 39.0.3 beziehungsweise ESR 38.1.1 aktualisieren. Das Update wird seit heute Vormittag auch automatisch verteilt. Die Android-Version von Firefox enthält keinen integrierten PDF-Viewer und ist deshalb von der Schwachstelle nicht betroffen. Möglicherweise seien Nutzer von Adblockern ebenfalls vor dem Exploit geschützt, schreibt Veditz. Welche Adblocker-Software und welche entsprechenden Filter gesetzt werden müssten, sagt Veditz aber nicht.



Anzeige
Top-Angebote
  1. bis zu 50% auf über 250 digitale Xbox-Spiele sparen
  2. (u. a. Forza Motorsport 7 34,99€, Ark: Survival Evolved 23,99€, Mittelerde: Schatten des...
  3. 219€ (Vergleichspreis 251€)

Lala Satalin... 08. Aug 2015

+1000

JouMxyzptlk 08. Aug 2015

Oh bitte, was ist denn das für ein klugscheißen? Realität: Die Kunden machen die...

Anonymer Nutzer 08. Aug 2015

Ist eigentlich nur vom PDF-Viewer abhängig. Hat dein "TorBrowser" einen PDF-Viewer,dann...


Folgen Sie uns
       


Blackberry Key2 - Test

Das Blackberry Key2 überzeugte uns nicht im Test - trotz guter Tastatur.

Blackberry Key2 - Test Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

    •  /