Samstag, 5. September 2015

Unautorisierter Zugriff auf Mozilla-Bugtracker

Im Bugtracker von Mozilla ("Bugzilla") werden sämtliche Fehler in Mozilla-Produkten festgehalten - unter anderem auch sicherheitskritische Fehler, die etwaige Sicherheitslücken beschreiben. Mozilla macht allerdings Bug-Reports, die gefährliche Sicherheitslücken beschreiben, nicht für die Öffentlichkeit sichtbar.

Ein Angreifer hatte allerdings vor bereits einem Jahr einen Bugzilla-Account eines Entwicklers gehackt - vermutlich durch eine Sicherheitslücke im PDF-Plugin von Firefox - und konnte sämtliche Details über gemeldete Bugs und Sicherheitslücken mitlesen.

Ab der Firefox-Version 40.0.3  (erschienen am 27.08.2015) wurden alle Bugs behoben, auf die der Angreifer Zugriff erlangen konnte.
Mozilla will mit erweiterten Sicherheitsmechanismen dafür sorgen, dass ein solcher Fall in Zukunft nicht mehr vorkommt.

Weitere Details zum Angriff gibt es im Mozilla-Blog

Keine Kommentare:

Kommentar veröffentlichen