Einem Angreifer ist es gelungen, über ein privilegiertes Benutzerkonto an eine Fehlerdatenbank von Firefox zu gelangen. Dadurch hatte er Einsicht zu Informationen über einen Firefox-Fehler, mit denen offenbar eine Sicherheitslücke des Browsers aktiv ausgenutzt wurde.

Die Lücke wurde zwischenzeitlich geschlossen und das Konto wurde schnell gesperrt. Zudem wurden von dem Mozilla-Projekt die Sicherheitsanforderungen erhöht, um vergleichbare Einbrüche zu erschweren, wie es aus einem Bericht zum Vorfall hervor geht, den das Mozilla-Projekt veröffentlicht hat.

Laut diesem Bericht konnte der Angreifer über einen übernommenen Account auch sicherheitskritische Fehlerberichte im von Mozilla verwendeten Bug-Tracking-Tool Bugzilla auslesen. Normalerweise sind Informationen zu solchen Bugs erst dann für die Öffentlichkeit zugänglich, wenn der jeweilige Fehler beseitigt wurde. Die mit dem Bugzilla-Konto gewonnen Informationen wurden offenbar von Angreifern dazu verwendet, um die Anfang August geschlossene Sicherheitslücke im PDF-Viewer von Firefox frühzeitig auszunutzen. Laut dem Mozilla-Projekt sollen die Angreifer aber nicht an Informationen gelangt sein, um Firefox-Nutzer angreifen zu können. Mit den seit dem 27. August erhältlichen Firefox-Updates wurden alle entsprechenden Lücken geschlossen.

Für alle Bugzilla-Konten, die Zugriff auf sicherheitskritische Fehlerberichte haben, schreibt das Mozilla-Projekt nun Zwei-Faktor-Autorisierung vor und die Anwender mussten zudem ihr Passwort ändern. Auch will das Mozilla-Projekt die Zahl solcher Konten reduzieren und die Zugriffsmöglichkeiten feiner einschränken, damit die Nutzer nur in den jeweils für sie relevanten Bereichen der Fehlerdatenbank Zugriff erhalten.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE