[Warning] Kritische Schwachstelle in Mozilla Firefox - aktiv ausgenützt (betrifft speziell (Web-)Entwickler und Systemadministratoren)
Robert Waldner
waldner at cert.at
Fri Aug 7 11:57:42 CEST 2015
7. August 2015
Beschreibung
Wie Mozilla gestern bekannt gab, gibt es eine Sicherheitslücke in
Mozilla Firefox, mit der sich lokale Dateien auslesen lassen.
Diese Lücke wurde "in the wild" entdeckt, das heisst sie wird bereits
aktiv ausgenützt.
Details
Im bekannten Fall wurde durch dieses Problem die "Same Origin Policy"
der JavaScript-Engine umgangen, und die Angreifer nutzten dies, um
diverse Konfigurations-/Passwort-Dateien und private Schlüssel
auszulesen.
Konkret waren das:
* auf Windows
+ Konfigurationsdateien für subversion, s3browser, und
Filezilla
+ .purple und Psi+ Account Informationen
+ sowie Dateien mit gespeicherten Zugangsinformationen von 8
verschiedenen FTP-Clients
* auf Linux
+ die /etc/passwd-Datei, in der alle Login-Namen (keine
Passwörter) enthalten sind
+ die Dateien .bash_history, .mysql_history, .pgsql_history -
in allen zugreifbaren Home-Directories
+ Konfigurationsdateien für emina, Filezilla und Psi+
+ alle Dateien, in deren Namen "text" oder "pass" vorkommen
+ alle Shell-Scripte
+ sowie *Konfigurationsdateien und Schlüssel aus .ssh*
Es ist natürlich nicht auszuschliessen, dass auch andere Kampagnen
oder gezielte Angriffe auf dasselbe Problem abzielen und etwa andere
Dateien auszulesen versuchen.
Auswirkungen
Dieser Bug ist vor allem für (Web-)Entwickler und
System-Administratoren relevant, da damit bereits gezielt
Account-Informationen gestohlen werden.
Auch, dass speziell Firefox auf Linux im Fokus steht, ist
ungewöhnlich und sollte Nutzern, die sich darauf verlassen, dass sie
üblicherweise nicht im Fokus von Standard-Malware stehen, zu denken
geben.
Speziell Administratoren von Systemen, die per SSH Key-Authentication
zugänglich sind, sollten mit allen entsprechenden Benutzern klären,
ob diese eventuell betroffen sein könnten.
Auch lokale Shell-Scripte sollten nach enthaltenen Passwörtern sowie
etwaiger Key-Authentication (speziell ohne Passphrases auf den
Private Keys) geprüft werden - auch und vor allem in grösseren
Umgebungen. Das Potential für Angreifer, und etwaige Folgeschäden,
ist gerade in solchen Umgebungen nicht zu unterschätzen.
Betroffene Systeme
Laut Mozilla sind folgende Versionen von Firefox betroffen:
* alle Versionen vor 39.0.3
* alle "ESR"-Versionen vor 38.1.1
Inwiefern auch Derivate wie Debian Iceweasel oder gebündelte
Versionen (etwa im Tor Browser Bundle) betroffen sind, ist momentan
noch nicht klar.
Nicht betroffen sind Versionen ohne integrierten PDF-Viewer, wie etwa
Firefox for Android.
Abhilfe
Upgrade auf die zur Verfügung gestellten Versionen 39.0.3 bzw. ESR
38.1.1, oder (sobald verfügbar) die etwa von Linux-Distributionen
bereitgestellten speziell gepatchten früheren Versionen.
Wir empfehlen, auch für gepatchte Versionen, in Mozilla Firefox den
integrierten PDF-Viewer auf "jedes Mal nachfragen" zu stellen (zu
finden via "Einstellungen" -> "Anwendungen" -> "Portable Document
Format (PDF)").
Es ist momentan nicht bekannt, ob dieser Bug auch bei Nutzung von
Plugins wie "NoScript" ausnutzbar ist. Wir empfehlen speziell
technik-affinen Personen wie (Web-)Entwicklern und
System-Administratoren jedoch dringend den Einsatz solcher Plugins.
Lange, komplexe Passphrases auf SSH Private Keys helfen, die
Zeitspanne zu erhöhen, ab der diese Keys von Angreifern benutzt
werden können. Wir empfehlen generell, wo immer möglich, Private
Keys (etwa PGP/GnuPG, SSH) nicht unverschlüsselt abzulegen.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend aktualisieren - die
aktuelle Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
Mozilla Security Blog (englisch)
https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
Mozilla Foundation Security Advisory 2015-78 (englisch)
https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
Red Hat Product Security Artikel über dieses Problem (englisch)
https://access.redhat.com/articles/1563163
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150807/b6ea2cb1/attachment.sig>
More information about the Warning
mailing list