Abo
  • Services:
Anzeige
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Sicherheitslücke: Rechteerschleichung über den Mozilla Maintenance Service

Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Der Mozilla Maintenance Service von Firefox und Thunderbird lässt sich von lokaler Schadsoftware zur Erlangung höherer Rechte ausnutzen. Die Sicherheitslücke kann nur über Umwege ausgenutzt werden. Andere Lücken sind allerdings kritisch und sollten vom Anwender durch Updates beseitigt werden.

In den Mozilla-Programmen Firefox und Thunderbird stecken mehrere, teils gefährliche Sicherheitslücken. Das geht aus den aktualisierten Known Vulnerabilities hervor. Bemerkenswert ist eine Sicherheitslücke, die im seit geraumer Zeit mitinstallierten Mozilla Maintenance Service (Mozilla Wartungsservice) steckt. Er ist nur für die Windows-Plattform verfügbar. Dieser Service wird von Mozilla genutzt, damit der Anwender bei einer Aktualisierung der Software unter Windows Vista, 7 und 8 nicht mehr auf den Ja-Knopf der Benutzerkontensteuerung (User Account Control, UAC) drücken muss, um die Aktualisierung durchzuführen. Damit sind stille Installationen möglich.

Anzeige

Die Sicherheitslücke selbst bekommt nur die Einstufung "hoch". Das liegt nicht an den mangelnden Möglichkeiten, die die Sicherheitslücke einem Angreifer bietet, sondern an dem Umstand, dass die Lücke von einem lokalen Programm ausgenutzt werden muss. Eine bereits vorhandene Schadsoftware kann den Maintenance Service nutzen, um sich höhere Rechte zu erschleichen. Ein Angreifer kann danach tief ins System eingreifen. Ein sauberer Rechner kann darüber nicht aus der Ferne angegriffen werden, da eine Webseite, die den Anwender angreift, nicht an den Wartungsservice herankommt.

In Firefox und Thunderbird stecken allerdings andere Sicherheitslücken, die eine Ausführung von Code erlauben und auch andere Betriebssysteme außer Windows betreffen. Mozilla listet drei gefährliche Sicherheitslücken für Firefox und zumindest in der Theorie auch drei für Thunderbird. Die Entwickler geben allerdings an, dass zwei der Sicherheitslücken im Mailprogramm nicht durch eine E-Mail ausgenutzt werden können.

Die Sicherheitsupdates sind für verschiedene Mozilla-Programme erschienen. Wer dem Rapid-Release-Cycle folgt, kann Firefox 21 und Thunderbird 17.0.6 herunterladen. Über die Neuerungen von Firefox 21 und dessen h.264-Unterstützung informiert ein weiterer Artikel. Für Unternehmen stehen Firefox 17.0.6esr und Thunderbird 17.0.6esr neu als herunterladbare Pakete bereit.


eye home zur Startseite
S-Talker 15. Mai 2013

Ein ESR Release obwohl es ohnehin keine neue Major geben wird und generell nur noch Bugs...

as (Golem.de) 15. Mai 2013

Hallo, das ist doch bei Sicherheitslücken häufig so. Die Sicherheitslücken wurden erst...



Anzeige

Stellenmarkt
  1. Home Shopping Europe GmbH, Ismaning
  2. Sky Deutschland GmbH, Unterföhring
  3. GDS GmbH, Hamburg
  4. DIEBOLD NIXDORF, Neu-Isenburg


Anzeige
Top-Angebote
  1. 149,90€ + 5,99€ Versand
  2. 39€
  3. 33€

Folgen Sie uns
       


  1. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  2. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  3. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  4. Wochenrückblick

    Früher war nicht alles besser

  5. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  6. Cloud

    AWS bringt den Appstore für Serverless-Software

  7. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  8. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  9. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  10. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Habe noch nie verstanden...

    Moridin | 12:32

  2. Re: SMR klackert

    renegade334 | 12:31

  3. Re: Kann ich nur bestätigen

    demon driver | 12:31

  4. Anschlüsse!

    SchmuseTigger | 12:25

  5. Re: Wieso nicht als SSD-HDD?

    renegade334 | 12:25


  1. 11:53

  2. 11:26

  3. 11:14

  4. 09:02

  5. 17:17

  6. 16:50

  7. 16:05

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel