[Warning] Kritische Schwachstelle in Mozilla Firefox - aktiv ausgenützt (betrifft speziell (Web-)Entwickler und Systemadministratoren)

Robert Waldner waldner at cert.at
Fri Aug 7 11:57:42 CEST 2015 

7. August 2015

Beschreibung

   Wie Mozilla gestern bekannt gab, gibt es eine Sicherheitslücke in
   Mozilla Firefox, mit der sich lokale Dateien auslesen lassen.

   Diese Lücke wurde "in the wild" entdeckt, das heisst sie wird bereits
   aktiv ausgenützt.

Details

   Im bekannten Fall wurde durch dieses Problem die "Same Origin Policy"
   der JavaScript-Engine umgangen, und die Angreifer nutzten dies, um
   diverse Konfigurations-/Passwort-Dateien und private Schlüssel
   auszulesen.

   Konkret waren das:
     * auf Windows
          + Konfigurationsdateien für subversion, s3browser, und
            Filezilla
          + .purple und Psi+ Account Informationen
          + sowie Dateien mit gespeicherten Zugangsinformationen von 8
            verschiedenen FTP-Clients
     * auf Linux
          + die /etc/passwd-Datei, in der alle Login-Namen (keine
            Passwörter) enthalten sind
          + die Dateien .bash_history, .mysql_history, .pgsql_history -
            in allen zugreifbaren Home-Directories
          + Konfigurationsdateien für emina, Filezilla und Psi+
          + alle Dateien, in deren Namen "text" oder "pass" vorkommen
          + alle Shell-Scripte
          + sowie *Konfigurationsdateien und Schlüssel aus .ssh*

   Es ist natürlich nicht auszuschliessen, dass auch andere Kampagnen
   oder gezielte Angriffe auf dasselbe Problem abzielen und etwa andere
   Dateien auszulesen versuchen.

Auswirkungen

   Dieser Bug ist vor allem für (Web-)Entwickler und
   System-Administratoren relevant, da damit bereits gezielt
   Account-Informationen gestohlen werden.

   Auch, dass speziell Firefox auf Linux im Fokus steht, ist
   ungewöhnlich und sollte Nutzern, die sich darauf verlassen, dass sie
   üblicherweise nicht im Fokus von Standard-Malware stehen, zu denken
   geben.

   Speziell Administratoren von Systemen, die per SSH Key-Authentication
   zugänglich sind, sollten mit allen entsprechenden Benutzern klären,
   ob diese eventuell betroffen sein könnten.
   Auch lokale Shell-Scripte sollten nach enthaltenen Passwörtern sowie
   etwaiger Key-Authentication (speziell ohne Passphrases auf den
   Private Keys) geprüft werden - auch und vor allem in grösseren
   Umgebungen. Das Potential für Angreifer, und etwaige Folgeschäden,
   ist gerade in solchen Umgebungen nicht zu unterschätzen.

Betroffene Systeme

   Laut Mozilla sind folgende Versionen von Firefox betroffen:
     * alle Versionen vor 39.0.3
     * alle "ESR"-Versionen vor 38.1.1

   Inwiefern auch Derivate wie Debian Iceweasel oder gebündelte
   Versionen (etwa im Tor Browser Bundle) betroffen sind, ist momentan
   noch nicht klar.

   Nicht betroffen sind Versionen ohne integrierten PDF-Viewer, wie etwa
   Firefox for Android.

Abhilfe

   Upgrade auf die zur Verfügung gestellten Versionen 39.0.3 bzw. ESR
   38.1.1, oder (sobald verfügbar) die etwa von Linux-Distributionen
   bereitgestellten speziell gepatchten früheren Versionen.

   Wir empfehlen, auch für gepatchte Versionen, in Mozilla Firefox den
   integrierten PDF-Viewer auf "jedes Mal nachfragen" zu stellen (zu
   finden via "Einstellungen" -> "Anwendungen" -> "Portable Document
   Format (PDF)").

   Es ist momentan nicht bekannt, ob dieser Bug auch bei Nutzung von
   Plugins wie "NoScript" ausnutzbar ist. Wir empfehlen speziell
   technik-affinen Personen wie (Web-)Entwicklern und
   System-Administratoren jedoch dringend den Einsatz solcher Plugins.

   Lange, komplexe Passphrases auf SSH Private Keys helfen, die
   Zeitspanne zu erhöhen, ab der diese Keys von Angreifern benutzt
   werden können. Wir empfehlen generell, wo immer möglich, Private
   Keys (etwa PGP/GnuPG, SSH) nicht unverschlüsselt abzulegen.

   Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
   verfügen, werden wir diese Warnung entsprechend aktualisieren - die
   aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

   Informationsquelle(n):
   Mozilla Security Blog (englisch)

https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
   Mozilla Foundation Security Advisory 2015-78 (englisch)
   https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
   Red Hat Product Security Artikel über dieses Problem (englisch)
   https://access.redhat.com/articles/1563163


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150807/b6ea2cb1/attachment.sig>

More information about the Warning mailing list