ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Mozilla: Bugzilla-Fehlerdatenbank gehackt

Ferdinand Thommes
39 Kommentare
Mozilla: Bugzilla-Fehlerdatenbank gehackt
Bild: Hugo A. Quintero G. | CC BY 2.0

Mozilla hat eingeräumt, dass die Fehlerdatenbank Bugzilla, die auch die Firefox und Thunderbird betreffenden Fehlermeldungen enthält, gehackt wurde. Die gute Nachricht ist: Alle kritischen Fehler, auf die der Dieb Zugriff hatte, sind bereits berichtigt.

Weniger gut ist, dass der Dieb möglicherweise bereits seit September 2013 Zugriff auf den Teil der Datenbank mit bisher unveröffentlichten sicherheitskritischen Fehlern hatte. Belegt werden kann dies allerdings nur für den Zeitraum ab September 2014. Wann Mozilla den Einbruch entdeckte, bleibt offen.

Nicht alle Nutzer von Bugzilla haben Zugang zu allen dort gespeicherten Fehlern. Auf den sicherheitsrelevanten Bereich, in dem Fehlermeldungen unter anderem zu unveröffentlichten Zero-Day-Fehlern liegen, hat nur ein kleiner Teil der Nutzer Zugriff. Nach Mozillas Erkenntnis erhielt der Hacker Einlass über ein Anwenderkonto mit Zugriff auf diesen Bereich. Der Bugzilla-Nutzer hat demnach sein Passwort für den Bugtracker auch andernorts verwendet, wo der Dieb über eine gehackte Webseite in Besitz der Daten gelangen konnte.

Weiter erklärt Mozilla, der Einbrecher habe unter anderem Zugriff auf 53 Fehler gehabt, die in ihrer Gefährlichkeit als „hoch“ oder „kritisch“ eingestuft waren. Davon seien 43 in Firefox bereits behoben gewesen, als der Täter Zugriff darauf erlangte. Die Zeiträume, die dem Täter zur Ausnutzung der restlichen zehn Fehler blieben, liegen zwischen 3 und 335 Tagen. Alle diese Fehler hätten in den gegebenen Zeiträumen zu Angriffen auf Firefox-Anwender benutzt werden können, gesteht Mozilla ein.

Bekannt ist ein Exploit jedoch nur von einem dieser Fehler. Hierbei handelt es sich um eine am 6. August 2015 geschlossene Lücke, die den in Firefox integrierten PDF-Reader betrifft. Mit Firefox 40.0.3 vom 27. August, so garantiert Mozilla, seien alle Lücken geschlossen, die der Angreifer hätte ausnutzen können.

In Mozillas Blogeintrag, der durch eine FAQ (PDF) detailliert wird, erklärt Mozilla, welche Maßnahmen bereits getroffen sind und noch getroffen werden, um solche Einbrüche künftig wesentlich zu erschweren. Als erster Schritt wurden alle Bugzilla-Anwender mit Zugang zu sicherheitsrelevanten Fehlern aufgefordert, ihr Passwort zu ändern und müssen sich künftig per 2-Faktor-Authentifizierung anmelden. Zudem soll die Anzahl der privilegierten Anwender gesenkt sowie deren jeweiligen Privilegien eingeschränkt werden, wo dies Sinn macht.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz