Kritische Lücke in Firefox hat Linux-User im Visier Kritische Lücke in Firefox hat Linux-User im Visier - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.08.2015 Rudolf Felser

Kritische Lücke in Firefox hat Linux-User im Visier

CERT.at warnt vor einer kritischen Schwachstelle in Mozilla Firefox, mit der sich lokale Dateien auslesen lassen. Die Lücke wird bereits aktiv ausgenützt.

Linux-User von Firefox unter Beschuss.

Linux-User von Firefox unter Beschuss.

© mozilla.org CC BY-SA 3.0

Das Computer Emergency Response Team Austria (CERT.at) warnt vor einer neuen Sicherheitslücke im Browser Mozilla Firefox, mit der sich lokale Dateien auslesen lassen. Die Schwachstelle erlaubt es, die "Same Origin Policy" der JavaScript-Engine zu umgehen. So lassen sich Konfigurations- bzw. Passwort-Dateien sowie private Schlüssel auslesen.

Bei dem bekannten Angriff hatten Angreifer auf Windows-Systemen unter anderem Zugriff auf Konfigurationsdateien für subversion, s3browser, und Filezilla, .purple und Psi+ Account Informationen sowie Dateien mit gespeicherten Zugangsinformationen von 8 verschiedenen FTP-Clients. Unter Linux wurde auf die /etc/passwd-Datei, in der alle Login-Namen (keine Passwörter) enthalten sind, die Dateien .bash_history, .mysql_history, .pgsql_history - in allen zugreifbaren Home-Directories, Konfigurationsdateien für emina, Filezilla und Psi+, alle Dateien, in deren Namen "text" oder "pass" vorkommen sowie alle Shell-Scripte sowie Konfigurationsdateien und Schlüssel aus .ssh zugegriffen. Die Security-Experten schließen nicht aus, dass sich über diese Schwachstelle auch andere Dateien auslesen lassen.

LINUX IM VISIER

Wie CERT.at in einem Beitrag schreibt, ist der Bug vor allem für (Web-)Entwickler und System-Administratoren relevant, da damit bereits gezielt Account-Informationen gestohlen werden. Bemrkenswert sei zudem, dass speziell Firefox auf Linux im Fokus steht. Linux-User sollten also mehr aufpassen als gewöhnlich, denn diesemal sind auch sie im Fadenkreuz. Speziell Administratoren von Systemen, die per SSH Key-Authentication zugänglich sind, sollten mit allen entsprechenden Benutzern klären, ob diese eventuell betroffen sein könnten. Auch lokale Shell-Scripte sollten nach enthaltenen Passwörtern sowie etwaiger Key-Authentication (speziell ohne Passphrases auf den Private Keys) geprüft werden.

Laut einem Blog-Beitrag von Mozilla sind alle Versionen vor 39.0.3 sowie alle "ESR"-Versionen vor 38.1.1 betroffen. Inwiefern auch Derivate wie Debian Iceweasel oder gebündelte Versionen (etwa im Tor Browser Bundle) betroffen sind, ist laut CERT.at momentan noch nicht klar. Nicht betroffen sein sollen Versionen ohne integrierten PDF-Viewer, wie etwa Firefox for Android.

WAS TUN?

CERT.at empfiehlt das Upgrade auf die zur Verfügung gestellten Versionen 39.0.3 bzw. ESR 38.1.1, oder (sobald verfügbar) die etwa von Linux-Distributionen bereitgestellten speziell gepatchten früheren Versionen. Außerdem kann es nicht schaden, auch für gepatchte Versionen, in Mozilla Firefox den integrierten PDF-Viewer auf "jedes Mal nachfragen" zu stellen ("Einstellungen" > "Anwendungen" > "Portable Document Format (PDF)"). Momentan ist nicht bekannt , ob dieser Bug auch bei Nutzung von Plugins wie "NoScript" ausnutzbar ist. Speziell technik-affine Personen wie (Web-)Entwicklern und System-Administratoren empfehlen die Security-Experten jedoch dringend den Einsatz solcher Plugins.

Lange, komplexe Passphrases auf SSH Private Keys könnten ebenfalls helfen, die Zeitspanne zu erhöhen, ab der diese Keys von Angreifern benutzt werden können. Außerdem wird empfohlen, generell Private Keys (etwa PGP/GnuPG, SSH) nicht unverschlüsselt abzulegen soweit möglich.

CERT.at aktualisiert seine Warnung, sobald neue Erkenntnisse über diese Schwachstelle gewonnen werden. (rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: