CERT.at warnt vor einer kritischen Schwachstelle in Mozilla Firefox, mit der sich lokale Dateien auslesen lassen. Die Lücke wird bereits aktiv ausgenützt. [...]
Das Computer Emergency Response Team Austria (CERT.at) warnt vor einer neuen Sicherheitslücke im Browser Mozilla Firefox, mit der sich lokale Dateien auslesen lassen. Die Schwachstelle erlaubt es, die „Same Origin Policy“ der JavaScript-Engine zu umgehen. So lassen sich Konfigurations- bzw. Passwort-Dateien sowie private Schlüssel auslesen.
Bei dem bekannten Angriff hatten Angreifer auf Windows-Systemen unter anderem Zugriff auf Konfigurationsdateien für subversion, s3browser, und Filezilla, .purple und Psi+ Account Informationen sowie Dateien mit gespeicherten Zugangsinformationen von 8 verschiedenen FTP-Clients. Unter Linux wurde auf die /etc/passwd-Datei, in der alle Login-Namen (keine Passwörter) enthalten sind, die Dateien .bash_history, .mysql_history, .pgsql_history – in allen zugreifbaren Home-Directories, Konfigurationsdateien für emina, Filezilla und Psi+, alle Dateien, in deren Namen „text“ oder „pass“ vorkommen sowie alle Shell-Scripte sowie Konfigurationsdateien und Schlüssel aus .ssh zugegriffen. Die Security-Experten schließen nicht aus, dass sich über diese Schwachstelle auch andere Dateien auslesen lassen.
LINUX IM VISIER
Wie CERT.at in einem Beitrag schreibt, ist der Bug vor allem für (Web-)Entwickler und System-Administratoren relevant, da damit bereits gezielt Account-Informationen gestohlen werden. Bemrkenswert sei zudem, dass speziell Firefox auf Linux im Fokus steht. Linux-User sollten also mehr aufpassen als gewöhnlich, denn diesemal sind auch sie im Fadenkreuz. Speziell Administratoren von Systemen, die per SSH Key-Authentication zugänglich sind, sollten mit allen entsprechenden Benutzern klären, ob diese eventuell betroffen sein könnten. Auch lokale Shell-Scripte sollten nach enthaltenen Passwörtern sowie etwaiger Key-Authentication (speziell ohne Passphrases auf den Private Keys) geprüft werden.
Laut einem Blog-Beitrag von Mozilla sind alle Versionen vor 39.0.3 sowie alle „ESR“-Versionen vor 38.1.1 betroffen. Inwiefern auch Derivate wie Debian Iceweasel oder gebündelte Versionen (etwa im Tor Browser Bundle) betroffen sind, ist laut CERT.at momentan noch nicht klar. Nicht betroffen sein sollen Versionen ohne integrierten PDF-Viewer, wie etwa Firefox for Android.WAS TUN?
CERT.at empfiehlt das Upgrade auf die zur Verfügung gestellten Versionen 39.0.3 bzw. ESR 38.1.1, oder (sobald verfügbar) die etwa von Linux-Distributionen bereitgestellten speziell gepatchten früheren Versionen. Außerdem kann es nicht schaden, auch für gepatchte Versionen, in Mozilla Firefox den integrierten PDF-Viewer auf „jedes Mal nachfragen“ zu stellen („Einstellungen“ > „Anwendungen“ > „Portable Document Format (PDF)“). Momentan ist nicht bekannt , ob dieser Bug auch bei Nutzung von Plugins wie „NoScript“ ausnutzbar ist. Speziell technik-affine Personen wie (Web-)Entwicklern und System-Administratoren empfehlen die Security-Experten jedoch dringend den Einsatz solcher Plugins.
Lange, komplexe Passphrases auf SSH Private Keys könnten ebenfalls helfen, die Zeitspanne zu erhöhen, ab der diese Keys von Angreifern benutzt werden können. Außerdem wird empfohlen, generell Private Keys (etwa PGP/GnuPG, SSH) nicht unverschlüsselt abzulegen soweit möglich.
CERT.at aktualisiert seine Warnung, sobald neue Erkenntnisse über diese Schwachstelle gewonnen werden. (rnf)
Be the first to comment