Abo
  • Services:

Sicherheitslücke: Rechteerschleichung über den Mozilla Maintenance Service

Der Mozilla Maintenance Service von Firefox und Thunderbird lässt sich von lokaler Schadsoftware zur Erlangung höherer Rechte ausnutzen. Die Sicherheitslücke kann nur über Umwege ausgenutzt werden. Andere Lücken sind allerdings kritisch und sollten vom Anwender durch Updates beseitigt werden.

Artikel veröffentlicht am ,
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

In den Mozilla-Programmen Firefox und Thunderbird stecken mehrere, teils gefährliche Sicherheitslücken. Das geht aus den aktualisierten Known Vulnerabilities hervor. Bemerkenswert ist eine Sicherheitslücke, die im seit geraumer Zeit mitinstallierten Mozilla Maintenance Service (Mozilla Wartungsservice) steckt. Er ist nur für die Windows-Plattform verfügbar. Dieser Service wird von Mozilla genutzt, damit der Anwender bei einer Aktualisierung der Software unter Windows Vista, 7 und 8 nicht mehr auf den Ja-Knopf der Benutzerkontensteuerung (User Account Control, UAC) drücken muss, um die Aktualisierung durchzuführen. Damit sind stille Installationen möglich.

Stellenmarkt
  1. Computacenter AG & Co. oHG, München
  2. Deloitte, verschiedene Standorte

Die Sicherheitslücke selbst bekommt nur die Einstufung "hoch". Das liegt nicht an den mangelnden Möglichkeiten, die die Sicherheitslücke einem Angreifer bietet, sondern an dem Umstand, dass die Lücke von einem lokalen Programm ausgenutzt werden muss. Eine bereits vorhandene Schadsoftware kann den Maintenance Service nutzen, um sich höhere Rechte zu erschleichen. Ein Angreifer kann danach tief ins System eingreifen. Ein sauberer Rechner kann darüber nicht aus der Ferne angegriffen werden, da eine Webseite, die den Anwender angreift, nicht an den Wartungsservice herankommt.

In Firefox und Thunderbird stecken allerdings andere Sicherheitslücken, die eine Ausführung von Code erlauben und auch andere Betriebssysteme außer Windows betreffen. Mozilla listet drei gefährliche Sicherheitslücken für Firefox und zumindest in der Theorie auch drei für Thunderbird. Die Entwickler geben allerdings an, dass zwei der Sicherheitslücken im Mailprogramm nicht durch eine E-Mail ausgenutzt werden können.

Die Sicherheitsupdates sind für verschiedene Mozilla-Programme erschienen. Wer dem Rapid-Release-Cycle folgt, kann Firefox 21 und Thunderbird 17.0.6 herunterladen. Über die Neuerungen von Firefox 21 und dessen h.264-Unterstützung informiert ein weiterer Artikel. Für Unternehmen stehen Firefox 17.0.6esr und Thunderbird 17.0.6esr neu als herunterladbare Pakete bereit.



Anzeige
Top-Angebote
  1. (Zugang für die ganze Familie!)
  2. 14,99€
  3. 519€
  4. (heute u. a. Dual DT 210 Plattenspieler 77,00€ statt 111,99€)

S-Talker 15. Mai 2013

Ein ESR Release obwohl es ohnehin keine neue Major geben wird und generell nur noch Bugs...

as (Golem.de) 15. Mai 2013

Hallo, das ist doch bei Sicherheitslücken häufig so. Die Sicherheitslücken wurden erst...


Folgen Sie uns
       


Two Point Hospital - Golem.de live

Dr. Dr. Golem meldet sich zum Dienst und muss im Livestream unfassbar viele depressive Clowns heilen, nein - nicht die im Chat.

Two Point Hospital - Golem.de live Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

    •  /