Kritische Lücke in Firefox hat Linux-User im Visier

CERT.at warnt vor einer kritischen Schwachstelle in Mozilla Firefox, mit der sich lokale Dateien auslesen lassen. Die Lücke wird bereits aktiv ausgenützt. [...]

Das Computer Emergency Response Team Austria (CERT.at) warnt vor einer neuen Sicherheitslücke im Browser Mozilla Firefox, mit der sich lokale Dateien auslesen lassen. Die Schwachstelle erlaubt es, die „Same Origin Policy“ der JavaScript-Engine zu umgehen. So lassen sich Konfigurations- bzw. Passwort-Dateien sowie private Schlüssel auslesen.

Bei dem bekannten Angriff hatten Angreifer auf Windows-Systemen unter anderem Zugriff auf Konfigurationsdateien für subversion, s3browser, und Filezilla, .purple und Psi+ Account Informationen sowie Dateien mit gespeicherten Zugangsinformationen von 8 verschiedenen FTP-Clients. Unter Linux wurde auf die /etc/passwd-Datei, in der alle Login-Namen (keine Passwörter) enthalten sind, die Dateien .bash_history, .mysql_history, .pgsql_history – in allen zugreifbaren Home-Directories, Konfigurationsdateien für emina, Filezilla und Psi+, alle Dateien, in deren Namen „text“ oder „pass“ vorkommen sowie alle Shell-Scripte sowie Konfigurationsdateien und Schlüssel aus .ssh zugegriffen. Die Security-Experten schließen nicht aus, dass sich über diese Schwachstelle auch andere Dateien auslesen lassen.

LINUX IM VISIER

Wie CERT.at in einem Beitrag schreibt, ist der Bug vor allem für (Web-)Entwickler und System-Administratoren relevant, da damit bereits gezielt Account-Informationen gestohlen werden. Bemrkenswert sei zudem, dass speziell Firefox auf Linux im Fokus steht. Linux-User sollten also mehr aufpassen als gewöhnlich, denn diesemal sind auch sie im Fadenkreuz. Speziell Administratoren von Systemen, die per SSH Key-Authentication zugänglich sind, sollten mit allen entsprechenden Benutzern klären, ob diese eventuell betroffen sein könnten. Auch lokale Shell-Scripte sollten nach enthaltenen Passwörtern sowie etwaiger Key-Authentication (speziell ohne Passphrases auf den Private Keys) geprüft werden.

Laut einem Blog-Beitrag von Mozilla sind alle Versionen vor 39.0.3 sowie alle „ESR“-Versionen vor 38.1.1 betroffen. Inwiefern auch Derivate wie Debian Iceweasel oder gebündelte Versionen (etwa im Tor Browser Bundle) betroffen sind, ist laut CERT.at momentan noch nicht klar. Nicht betroffen sein sollen Versionen ohne integrierten PDF-Viewer, wie etwa Firefox for Android.

WAS TUN?

CERT.at empfiehlt das Upgrade auf die zur Verfügung gestellten Versionen 39.0.3 bzw. ESR 38.1.1, oder (sobald verfügbar) die etwa von Linux-Distributionen bereitgestellten speziell gepatchten früheren Versionen. Außerdem kann es nicht schaden, auch für gepatchte Versionen, in Mozilla Firefox den integrierten PDF-Viewer auf „jedes Mal nachfragen“ zu stellen („Einstellungen“ > „Anwendungen“ > „Portable Document Format (PDF)“). Momentan ist nicht bekannt , ob dieser Bug auch bei Nutzung von Plugins wie „NoScript“ ausnutzbar ist. Speziell technik-affine Personen wie (Web-)Entwicklern und System-Administratoren empfehlen die Security-Experten jedoch dringend den Einsatz solcher Plugins.

Lange, komplexe Passphrases auf SSH Private Keys könnten ebenfalls helfen, die Zeitspanne zu erhöhen, ab der diese Keys von Angreifern benutzt werden können. Außerdem wird empfohlen, generell Private Keys (etwa PGP/GnuPG, SSH) nicht unverschlüsselt abzulegen soweit möglich.

CERT.at aktualisiert seine Warnung, sobald neue Erkenntnisse über diese Schwachstelle gewonnen werden. (rnf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*