Angreifer hatte vorab Informationen zu sicherheitskritischen Firefox-Fehlern

Über ein privilegiertes Benutzerkonto zu einer Fehlerdatenbank ist ein Angreifer vorab an Informationen über einen Firefox-Fehler gelangt, mit denen offenbar eine Sicherheitslücke des Browsers aktiv ausgenutzt wurde. Das Konto wurde schnell gesperrt und die Lücke zwischenzeitlich gestopft. Das hinter Firefox stehende Mozilla-Projekt hat zudem die Sicherheitsanforderungen erhöht, um vergleichbare Einbrüche zu erschweren. Das geht aus einem Bericht zum Vorfall hervor, den das Mozilla-Projekt veröffentlicht hat.

Lücke im PDF-Viewer ausgenutzt

Dem Bericht zufolge konnte der Angreifer einen Account übernehmen, mit dem er auch sicherheitskritische Fehlerberichte im von Mozilla verwendeten Bug-Tracking-Tool Bugzilla auslesen durfte. Informationen zu solchen Bugs sind für die Öffentlichkeit normalerweise erst einsehbar, wenn der jeweilige Fehler beseitigt wurde. Angreifer haben die mit dem Bugzilla-Konto gewonnen Informationen offenbar verwendet, um die Anfang August gestopfte Sicherheitslücke im PDF-Viewer von Firefox frühzeitig auszunutzen. Laut dem Mozilla-Projekt deutet nichts darauf hin, dass Angreifer andere über das Konto gewonnene Informationen genutzt haben, um Firefox-Nutzer anzugreifen. Alle Lücken, zu denen der Angreifer Informationen hätte abgreifen können, wurden mit den seit dem 27. August erhältlichen Firefox-Updates geschlossen.

Sicherheitsmaßnahmen erhöht

In Folge des Angriffs hat das Mozilla-Projekt die Sicherheitsbedingungen erhöht und schreibt jetzt Zwei-Faktor-Autorisierung für alle Bugzilla-Konten vor, die Zugriff auf sicherheitskritische Fehlerberichte haben. Alle Anwender mit solchen Accounts mussten zudem ihr Passwort ändern. Das Mozilla-Projekt arbeitet ferner daran, die Zahl solcher Konten zu reduzieren; zudem will es die Zugriffsmöglichkeiten feiner einschränken, damit die Nutzer nur in den jeweils für sie relevanten Bereichen der Fehlerdatenbank Zugriff erhalten. (thl)