Brisanter Zugriff: Unbekannter nutzt Bugzilla-Reports gegen Mozilla

Mozilla, Entwickler, Screenshot, Bugzilla Bildquelle: Mozilla
Wahrscheinlich seit über zwei Jahren hatte ein noch unbekannter Hacker nach Zugriff auf das interne Bugzilla-Reportsystem von Mozilla. Der Zugriff wurde durch einen kompromittierten Account eines Entwicklers ermöglicht.
Dadurch hatten die oder der Unbekannte nach jüngsten Erkenntnissen Kenntnis über schwerwiegende Sicherheitslücken erlangt, die mit diesem Wissen dann ausgenutzt wurden. Mozilla hat die Schwachstelle, die zu dem Leak führte, bereits geschlossen und eine umfassende Dokumentation inklusive "Erste Hilfe" (als PDF) online gestellt, um alle Teilnehmer am Bugzilla-Programm zu informieren. Über das Bugzilla Reportingsystem können Fehler, Sicherheitslücken und Probleme gemeldet werden.

Dabei sind einige der Meldungen aber solang nur für Mozilla selbst zugänglich, bis die dahinterstehenden Schwachstellen behoben werden können. Erst danach werden sie öffentlich gemacht, außer, es sind nur leichte oder nicht tendenziell auszunutzende Bugs.

Brisanter Zugriff

Jetzt ist es aber jemandem gelungen, die internen Dokumente einzusehen, teilte Mozilla-Chefentwickler Richard Barnes in einem Blogeintrag mit. Das Ganze ist deshalb so brisant, da der Unbekannte quasi ein Jahr lang Informationen über relevante Sicherheitslücken nach Hause geliefert bekam. Damit war es möglich, die entsprechenden Lücken aktiv auszunutzen, soweit sie noch nicht geschlossen waren - ein lukratives Geschäft, falls man die Informationen nicht nur selbst verwenden will.

Bei diesem Bugzilla-Hack war es nun so, dass der unbekannte Dritte soweit es aktuell bekannt ist, Zugriff auf 185 interne Fehlerberichte hatte. 53 Berichte galten Sicherheitslücken, die als kritisch eingestuft wurden. Bei Mozilla geht man nun dem Verdacht nach, dass der Hacker diese Informationen direkt für einen Exploit genutzt hat, der als Firefox-Viewer-Exploit bekannt wurde. Damit hätte der Hacker einen an Firefox gemeldeten Bug selbst gegen die Firefox-Community gerichtet. Mozilla hatte dazu Anfang August ein Sicherheitsupdate herausgegeben.

Alle Bugzilla-Nutzer werden nun gebeten, ihr Passwort neu zu vergeben. Zudem soll eine Verpflichtung zur Zwei-Faktor-Authentifizierung für mehr Sicherheit sorgen. Wie lang die Reports nun tatsächlich eingesehen wurden, ist nicht abschließend geklärt. Es gibt einige Hinweise, die auf den Zugriff ab Herbst 2013 deuten. Ab September 2014 gibt es aber gesicherte Belege für den Fremdzugriff. Mozilla, Entwickler, Screenshot, Bugzilla Mozilla, Entwickler, Screenshot, Bugzilla Mozilla
Mehr zum Thema: Firefox
Diese Nachricht empfehlen
Kommentieren3
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 16:00 Uhr Lenovo ThinkPad X220 12,5 Zoll Notebook (Zertifiziert und Generalüberholt)
Lenovo ThinkPad X220 12,5 Zoll Notebook (Zertifiziert und Generalüberholt)
Original Amazon-Preis
229
Im Preisvergleich ab
?
Blitzangebot-Preis
183
Ersparnis zu Amazon 20% oder 46

Tipp einsenden