Angreifer hatte vorab Informationen zu sicherheitskritischen Firefox-Fehlern
(Bild: blog.mozilla.org)
Eine Anfang August gestopfte Sicherheitslücke im PDF-Viewer von Firefox wurde offenbar frühzeitig ausgenutzt, nachdem sich ein Angreifer Zugriff auf die Fehlerdatenbank des Mozilla-Projekts verschaffen hatte.
Über ein privilegiertes Benutzerkonto zu einer Fehlerdatenbank ist ein Angreifer vorab an Informationen über einen Firefox-Fehler gelangt, mit denen offenbar eine Sicherheitslücke des Browsers aktiv ausgenutzt wurde. Das Konto wurde schnell gesperrt und die Lücke zwischenzeitlich gestopft. Das hinter Firefox stehende Mozilla-Projekt hat zudem die Sicherheitsanforderungen erhöht, um vergleichbare Einbrüche zu erschweren. Das geht aus einem Bericht zum Vorfall hervor, den das Mozilla-Projekt [1] veröffentlicht hat.
Lücke im PDF-Viewer ausgenutzt
Dem Bericht zufolge konnte der Angreifer einen Account übernehmen, mit dem er auch sicherheitskritische Fehlerberichte im von Mozilla verwendeten Bug-Tracking-Tool Bugzilla auslesen durfte. Informationen zu solchen Bugs sind für die Öffentlichkeit normalerweise erst einsehbar, wenn der jeweilige Fehler beseitigt wurde. Angreifer haben die mit dem Bugzilla-Konto gewonnen Informationen offenbar verwendet, um die Anfang August gestopfte Sicherheitslücke im PDF-Viewer von Firefox [2] frühzeitig auszunutzen. Laut dem Mozilla-Projekt deutet nichts darauf hin, dass Angreifer andere über das Konto gewonnene Informationen genutzt haben, um Firefox-Nutzer anzugreifen. Alle Lücken, zu denen der Angreifer Informationen hätte abgreifen können, wurden mit den seit dem 27. August erhältlichen Firefox-Updates geschlossen.
Sicherheitsmaßnahmen erhöht
In Folge des Angriffs hat das Mozilla-Projekt die Sicherheitsbedingungen erhöht und schreibt jetzt Zwei-Faktor-Autorisierung [3] für alle Bugzilla-Konten vor, die Zugriff auf sicherheitskritische Fehlerberichte haben. Alle Anwender mit solchen Accounts mussten zudem ihr Passwort ändern. Das Mozilla-Projekt arbeitet ferner daran, die Zahl solcher Konten zu reduzieren; zudem will es die Zugriffsmöglichkeiten feiner einschränken, damit die Nutzer nur in den jeweils für sie relevanten Bereichen der Fehlerdatenbank Zugriff erhalten. (thl [4])
URL dieses Artikels:
https://www.heise.de/-2806374
Links in diesem Artikel:
[1] https://blog.mozilla.org/security/2015/09/04/improving-security-for-bugzilla/
[2] https://www.heise.de/news/Web-Browser-Kritische-Sicherheitsluecke-in-Firefox-geschlossen-2774450.html
[3] https://www.heise.de/news/l-f-Zwei-Faktor-Authentifizierung-bei-ueber-100-Diensten-aktivieren-2679271.html
[4] mailto:thl@ct.de
Copyright © 2015 Heise Medien