Mozilla hat eingeräumt, dass ein unbekannter Hacker sich Zugang zu einer Sammlung Firefox-Bugs verschafft und mindestens eine der darin aufgeführten Sicherheitsanfälligkeiten für einen Exploit ausgenutzt hat. Die Infiltration gelang ihm in diesem Fall nicht aufgrund einer Schwachstelle, sondern indem er sich ein Bugzilla-Passwort eines berechtigten Anwenders beschaffte.
Bugzilla ist ein webbasierter Tracker, der Entwicklern und Sicherheitsexperten das Nachverfolgen von Fehlern in Mozilla-Produkten erlaubt. Die meisten Daten der Plattform sind öffentlich zugänglich, sicherheitsrelevante Informationen – wie Bekanntmachungen zu kritischen Lücken – aber nur für die Augen von Anwendern mit erhöhten Benutzerrechten gedacht.
Im Sinne der Transparenz hat Mozilla nun zugegeben, dass es jemandem gelungen ist, diese Informationen zu stehlen, um auf deren Grundlage Firefox-Nutzer anzugreifen. Am Freitag teilte das Unternehmen in einem Blogbeitrag mit, dass ein privilegiertes Benutzerkonto kompromittiert wurde. Dies ermöglichte dem Hacker den Diebstahl von Informationen hinsichtlich einer Anfälligkeit, die die Ausführung von JavaScript-Payloads in lokalen Dateien erlaubt und so eventuell zum Verlust persönlicher Daten führt.
Die fragliche Schwachstelle wurde laut Mozilla bereits am 6. August beseitigt, aber nicht bevor sie ausgenutzt werden konnte. Insgesamt erhielt der Hacker Zugriff auf 185 nicht öffentliche Fehler, darunter 22 kleinere und 53 schwerwiegende Anfälligkeiten. Die restlichen 110 wurden „aus andereren Gründen als der Software-Sicherheit unter Verschluss gehalten“.
Mozilla zufolge gibt es keinen Beweis dafür, dass andere Bugzilla-Informationen gegen Firefox-Nutzer eingesetzt wurden. Mit dem Ende August veröffentlichten Firefox 40.0.3 habe man alle Sicherheitslücken beseitigt, von denen der Angreifer durch den Zugriff auf die Bugzilla-Daten erfahren habe und die er hätte ausnutzen können.
An das Passwort selbst gelangte der Angreifer nach Ansicht von Mozilla durch eine Datenpanne bei einer anderen nicht namentlich genannten Website. Der unautorisierte Zugang reiche bis September 2014 zurück, könnte laut Mozilla aber schon ein Jahr zuvor erlangt worden sein. Das Unternehmen hat das betroffene Konto inzwischen geschlossen und die zuständigen Strafverfolgungsbehörden informiert.
Zugleich kündigte es verbesserte Sicherheitsmaßnahmen für Bugzilla an. Berechtigte Benutzer müssen ihr Passwort ändern und ab sofort die Zwei-Faktor-Authentifizierung aktivieren. Außerdem reduziert Mozilla die Zahl der Anwender mit erweiterten Benutzerrechten und beschränkt jeden Account. Dadurch verringern sich auch die potenziellen Angriffsziele und die Möglichkeiten für Angreifer, die sich Zugriff auf ein Bugzilla-Konto verschaffen.
[mit Material von Charlie Osborne, ZDNet.com ]
Tipp: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.