Software::Security
Hackerzugriff auf Mozilla-Bugtracker
Ein Hacker hatte mindestens ein Jahr, möglicherweise sogar zwei Jahre Zugriff auf den nicht öffentlichen Teil von Bugzilla, der Mozilla-Fehlerdatenbank. In diesem Bereich liegen noch nicht veröffentlichte Zero-Day-Lücken und andere sicherheitsrelevante Fehler.
Mozilla
Dabei brach der Hacker nicht in Bugzilla selbst ein, sondern hatte die Zugangsdaten dazu durch das Hacken einer anderen Webseite erhalten. Soweit die Erkenntnisse, die Mozilla
im Firmenblog unter der beschönigenden Überschrift »Erhöhung der Sicherheit für Bugzilla« jetzt veröffentlicht hat.
Nur ein Bruchteil der Anwender von Bugzilla hat Zugriff auf den Bereich, in dem sicherheitsrelevante Informationen zu Lücken in den Produkten der Mozilla Foundation liegen. Nach den Informationen, die Mozilla jetzt veröffentlichte, hat einer dieser privilegierten Personen das Passwort für seinen Bugzilla-Zugang auch für andere Dienste benutzt, unter anderem für die Anmeldung auf einer Webseite, die dann gehackt wurde. Wann Mozilla den unerlaubten Zugriff entdeckte, wurde nicht mitgeteilt.
So hatte der Dieb seit September 2014, eventuell sogar schon seit September 2013 Zugriff auf diesen gesperrten Bereich und erbeutete in diesem Zeitraum unter anderem 53 Fehlermeldungen zu Sicherheitsrisiken, deren Schadpotenzial als »hoch« oder »kritisch« eingestuft war. Während 43 dieser Lücken zum Zeitpunkt des Zugriffs bereits geschlossen waren, blieben dem Täter zur Ausnutzung der restlichen zehn Fehler Zeiträume zwischen drei und 335 Tagen. In den jeweiligen Zeiträumen hätte jeder dieser Lücken in Firefox ausgenutzt werden können, so räumte Mozilla ein.
Nachgewiesen ist das bisher lediglich für eine dieser Lücken, die bei ihrer Schließung bereits aktiv ausgenutzt wurde. Es handelt sich dabei um eine Lücke mit der Kennung CVE-2015-2743, die am 6. August geschlossen wurde und den in Firefox integrierten PDF-Reader PDF.js betraf. Nach Aussagen von Mozilla sind mit Firefox 40.0.3 vom 27. August alle Lücken geschlossen, auf die der Einbrecher Zugriff hatte.
Als erste Maßnahme, um solche, durch menschliche Nachlässigkeit verursachten Vorfälle in Zukunft zu erschweren, wurden alle Anwender mit Zugriff auf den gesonderten Teil der Datenbank aufgefordert, ihre Passwörter zu ändern. Hier wird künftig eine Zwei-Faktor-Authentifizierung für eine verbesserte Absicherung sorgen. Zudem wird überprüft, ob alle Anwender mit Sonderprivilegien für Bugzilla diese noch benötigen und wenn ja, in welchem Ausmaß.
){kind=small}
