Abo
  • Services:
Anzeige
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Sicherheitslücke: Rechteerschleichung über den Mozilla Maintenance Service

Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke.
Im Wartungsservice von Mozilla-Produkten steckt eine Sicherheitslücke. (Bild: Mozilla)

Der Mozilla Maintenance Service von Firefox und Thunderbird lässt sich von lokaler Schadsoftware zur Erlangung höherer Rechte ausnutzen. Die Sicherheitslücke kann nur über Umwege ausgenutzt werden. Andere Lücken sind allerdings kritisch und sollten vom Anwender durch Updates beseitigt werden.

In den Mozilla-Programmen Firefox und Thunderbird stecken mehrere, teils gefährliche Sicherheitslücken. Das geht aus den aktualisierten Known Vulnerabilities hervor. Bemerkenswert ist eine Sicherheitslücke, die im seit geraumer Zeit mitinstallierten Mozilla Maintenance Service (Mozilla Wartungsservice) steckt. Er ist nur für die Windows-Plattform verfügbar. Dieser Service wird von Mozilla genutzt, damit der Anwender bei einer Aktualisierung der Software unter Windows Vista, 7 und 8 nicht mehr auf den Ja-Knopf der Benutzerkontensteuerung (User Account Control, UAC) drücken muss, um die Aktualisierung durchzuführen. Damit sind stille Installationen möglich.

Anzeige

Die Sicherheitslücke selbst bekommt nur die Einstufung "hoch". Das liegt nicht an den mangelnden Möglichkeiten, die die Sicherheitslücke einem Angreifer bietet, sondern an dem Umstand, dass die Lücke von einem lokalen Programm ausgenutzt werden muss. Eine bereits vorhandene Schadsoftware kann den Maintenance Service nutzen, um sich höhere Rechte zu erschleichen. Ein Angreifer kann danach tief ins System eingreifen. Ein sauberer Rechner kann darüber nicht aus der Ferne angegriffen werden, da eine Webseite, die den Anwender angreift, nicht an den Wartungsservice herankommt.

In Firefox und Thunderbird stecken allerdings andere Sicherheitslücken, die eine Ausführung von Code erlauben und auch andere Betriebssysteme außer Windows betreffen. Mozilla listet drei gefährliche Sicherheitslücken für Firefox und zumindest in der Theorie auch drei für Thunderbird. Die Entwickler geben allerdings an, dass zwei der Sicherheitslücken im Mailprogramm nicht durch eine E-Mail ausgenutzt werden können.

Die Sicherheitsupdates sind für verschiedene Mozilla-Programme erschienen. Wer dem Rapid-Release-Cycle folgt, kann Firefox 21 und Thunderbird 17.0.6 herunterladen. Über die Neuerungen von Firefox 21 und dessen h.264-Unterstützung informiert ein weiterer Artikel. Für Unternehmen stehen Firefox 17.0.6esr und Thunderbird 17.0.6esr neu als herunterladbare Pakete bereit.

eye home zur Startseite
Kommentarübersicht
Thunderbird 17.0.6esr ?
S-Talker 15. Mai 2013

Ein ESR Release obwohl es ohnehin keine neue Major geben wird und generell nur noch Bugs...

Re: Artikel erweckt falschen Eindruck!
as (Golem.de) 15. Mai 2013

Hallo, das ist doch bei Sicherheitslücken häufig so. Die Sicherheitslücken wurden erst...

Anzeige
Stellenmarkt
  1. IT-Dienstleistungszentrum Berlin, Berlin
  2. operational services GmbH & Co. KG, Wolfsburg
  3. Leadec Management Central Europe BV & Co. KG, Stuttgart
  4. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Jena
Anzeige
Top-Angebote
  1. (u. a. Far Cry Primal Digital Apex Edition 22,99€ und Watch_Dogs 2 Deluxe Edition 29,99€)
  2. (heute u. a. mit Sony TVs, Radios und Lautsprechern, 4K-Blu-rays und Sennheiser Kopfhörern)
  3. Aktuell nicht bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der Bestellseite nachschauen.
Folgen Sie uns
       
Videos
Metroid Samus Returns - Trailer (Überblick) Metroid Samus Returns - Trailer (Überblick)
Ticker
  1. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb

  2. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  3. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  4. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

  5. Pocketbeagle

    Beaglebone passt in die Hosentasche

  6. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  7. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  8. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  9. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  10. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
E-Paper
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7
Cebit 2016
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche
Apache
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben
Forumsbeiträge »
  1. Unterwegs auf der Babymesse "Eltern vibrieren nicht"

    Re: Wozu?

    PiranhA | 10:13

  2. C't-Editorial kopiert Bundeswahlleiter stellt Strafanzeige gegen Brieffälscher

    Re: Was hat das mit "Die PARTEI" zui tun?

    fg (Golem.de) | 10:12

  3. Unterwegs auf der Babymesse "Eltern vibrieren nicht"

    Re: Eltern leben in einer Welt aus Angst

    Peter Brülls | 10:12

  4. Tuxedo Linux-Notebook läuft bis zu 20 Stunden

    Re: Entspricht dem Schenker Via 14

    R00toym | 10:10

  5. Unterwegs auf der Babymesse "Eltern vibrieren nicht"

    Re: hmm brauch man sowas

    |=H | 10:09

Ticker »
  1. VW-Programm Jeder Zehnte tauscht Diesel gegen Elektroantrieb

    10:13

  2. Spaceborne Computer HPEs Weltraumcomputer rechnet mit 1 Teraflops

    09:56

  3. Unterwegs auf der Babymesse "Eltern vibrieren nicht"

    09:06

  4. Globalfoundries AMD nutzt künftig die 12LP-Fertigung

    08:11

  5. Pocketbeagle Beaglebone passt in die Hosentasche

    07:21

  6. Fifa 18 im Test Kick mit mehr Taktik und mehr Story

    18:13

  7. Trekstor Kompakte Convertibles kosten ab 350 Euro

    17:49

  8. Apple 4K-Filme in iTunes laufen nur auf neuem Apple TV

    17:39

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel