INTERNET WORLD Business Logo Abo
Passwort-Klau
Sonstiges 08.09.2015
Sonstiges 08.09.2015

Bugzilla-Hintertürchen Firefox-Angreifer nutzten Insider-Infos

shutterstock.com/scyther5
shutterstock.com/scyther5

Angreifer haben sich Informationen der Mozilla-Fehlerdatenbank zu nutze gemacht, um Lücken in Firefox frühzeitig auszunutzen. Um das künftig zu verhindern, hat Mozilla die Sicherheitsstandards erhöht.

Firefox-Angreifer hatten Zugriff auf Insider-Informationen: Wie Mozilla nun in einem Blogpost mitteilte, hatten sich Angreifer Zugang zur Fehlerdatenbank Bugzilla verschafft, um bestehende Sicherheitslücken auszunutzen. Dabei handelte es sich um einen Fehler im PDF-Plug-in von Firefox, den Mozilla Anfang August geschlossen hatte.

Bugzilla Fehlerdatenbank

Bugzilla: Angreifer hatten Informationen aus der Fehlerdatenbank gestohlen und ausgenutzt.

Der Fehler erlaubte den Angreifern, über modifizierte Werbebanner Zugangsdaten und Passwörter von Filezilla und anderen FTP-Programmen zu stehlen. Dauerhaftes Einschleusen von Schadcode auf dem Rechner war über den Fehler hingegen nicht möglich.

Mozilla zufolge sind die Angreifer über ein privilegiertes Bugzilla-Konto an die benötigten Informationen gelangt. Diese Accounts haben im Gegensatz zu herkömmlichen Nutzer-Konten Zugriff auf sicherheitsrelevante Daten. Das entsprechende Konto wurde zwischenzeitlich deaktiviert. Zudem haben die Entwickler sämtliche Fehler, zu denen Informationen entwendet wurden, per Update geschlossen.

Um den unberechtigten Zugriff auf die Bugzilla-Plattform in Zukunft zu verhindern, hat Mozilla nun eine verpflichtende Zwei-Faktor-Authentifizierung seine Fehlerdatenbank eingeführt. Darüber hinaus haben die Entwickler die Anzahl privilegierter Konten sowie deren Zugriffsrechte reduziert.

Das könnte Sie auch interessieren