Entwendetes Passwort gab Hacker Zugriff auf Dutzende Firefox-Lücken

Mozilla hat eingeräumt, dass ein unbekannter Hacker sich Zugang zu einer Sammlung Firefox-Bugs verschafft und mindestens eine der darin aufgeführten Sicherheitsanfälligkeiten für einen Exploit ausgenutzt hat. Die Infiltration gelang ihm in diesem Fall nicht aufgrund einer Schwachstelle, sondern indem er sich ein Bugzilla-Passwort eines berechtigten Anwenders beschaffte.

Bugzilla ist ein webbasierter Tracker, der Entwicklern und Sicherheitsexperten das Nachverfolgen von Fehlern in Mozilla-Produkten erlaubt. Die meisten Daten der Plattform sind öffentlich zugänglich, sicherheitsrelevante Informationen – wie Bekanntmachungen zu kritischen Lücken – aber nur für die Augen von Anwendern mit erhöhten Benutzerrechten gedacht.

Im Sinne der Transparenz hat Mozilla nun zugegeben, dass es jemandem gelungen ist, diese Informationen zu stehlen, um auf deren Grundlage Firefox-Nutzer anzugreifen. Am Freitag teilte das Unternehmen in einem Blogbeitrag mit, dass ein privilegiertes Benutzerkonto kompromittiert wurde. Dies ermöglichte dem Hacker den Diebstahl von Informationen hinsichtlich einer Anfälligkeit, die die Ausführung von JavaScript-Payloads in lokalen Dateien erlaubt und so eventuell zum Verlust persönlicher Daten führt.

Die fragliche Schwachstelle wurde laut Mozilla bereits am 6. August beseitigt, aber nicht bevor sie ausgenutzt werden konnte. Insgesamt erhielt der Hacker Zugriff auf 185 nicht öffentliche Fehler, darunter 22 kleinere und 53 schwerwiegende Anfälligkeiten. Die restlichen 110 wurden „aus andereren Gründen als der Software-Sicherheit unter Verschluss gehalten“.

Mozilla zufolge gibt es keinen Beweis dafür, dass andere Bugzilla-Informationen gegen Firefox-Nutzer eingesetzt wurden. Mit dem Ende August veröffentlichten Firefox 40.0.3 habe man alle Sicherheitslücken beseitigt, von denen der Angreifer durch den Zugriff auf die Bugzilla-Daten erfahren habe und die er hätte ausnutzen können.

An das Passwort selbst gelangte der Angreifer nach Ansicht von Mozilla durch eine Datenpanne bei einer anderen nicht namentlich genannten Website. Der unautorisierte Zugang reiche bis September 2014 zurück, könnte laut Mozilla aber schon ein Jahr zuvor erlangt worden sein. Das Unternehmen hat das betroffene Konto inzwischen geschlossen und die zuständigen Strafverfolgungsbehörden informiert.

Zugleich kündigte es verbesserte Sicherheitsmaßnahmen für Bugzilla an. Berechtigte Benutzer müssen ihr Passwort ändern und ab sofort die Zwei-Faktor-Authentifizierung aktivieren. Außerdem reduziert Mozilla die Zahl der Anwender mit erweiterten Benutzerrechten und beschränkt jeden Account. Dadurch verringern sich auch die potenziellen Angriffsziele und die Möglichkeiten für Angreifer, die sich Zugriff auf ein Bugzilla-Konto verschaffen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

2 Stunden ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

2 Stunden ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

1 Tag ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

1 Tag ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

4 Tagen ago