Firefox 39.0.3: Mozilla behebt kritische Sicherheitslücke im PDF-Betrachter, Exploit im Umlauf

rugk

Moderator
Mitarbeiter
Beiträge
1.013
Ort
Deutschland
In der Version 39.0.3 für Firefox wurde eine kritische Sicherheitslücke im internen PDF-Viewer gefixt. Diese erlaubt die Ausführung von Javascript in lokalem Kontext, wodurch der Angreifer Zugriff auf auf dem System gespeicherte Dateien erhält.
Das Update wurde wahrscheinlich vor allem deswegen so schnell veröffentlicht, da bereits ein Exploit dafür im Umlauf ist. Nach Angaben von Mozilla soll dieser bereits in einer schädlichen Werbeanzeige genutzt wurden sein.
Der Exploit sucht dabei Mozillas Angaben zufolge nach folgenden Daten in verschiedenen Betriebssystemen nach Konfigurationsdaten um an Passwörtern und Zugangsschlüssel zu gelangen:
  • Windows: subversion, s3browser, Filezilla, .purple, Psi+ und Konfigurationsdateien von 8 weiteren populären FTP-Clients
  • Linux: /etc/passwd, .bash_history, .mysql_history, .pgsql_history, .ssh, remina, Filezilla, Psi+, alle Textdateien mit "pass" oder "access" im Dateinamen und alle Shell-Skripte
  • Mac-Nutzer werden aktuell nicht von dem Exploit angegriffen, allerdings könnte der Exploit jederzeit modifiziert werden oder ein anderer entwickelt werden, der die Schwachstelle auch bei Mac OS ausnutzt.
Mozilla rät Windows und Linux-Nutzern alle Passwörter und Schlüssel zu ändern, die in den aufgezählten Konfigurationsdateien zu finden sind. Außerdem hinterlässt der Exploit keine Spuren auf den lokalen Maschinen und Nutzer von Adblockern könnten von dem Exploit geschützt gewesen sein, je nach verwendeter Software und Filtern.
Für die ESR-Version von Firefox wurde ebenfalls ein Patch mit der Version 38.1.1 bereitgestellt.

Quellen:
 

rugk

Moderator
Mitarbeiter
Beiträge
1.013
Ort
Deutschland
ESET hat in diesem Artikel weitere Details des Angriffes erläutert. U.a. werden in einer neueren Version nach weiteren Daten gesucht, in der nach allem möglichen gesucht wird, wie zum Beispiel Kreditkarteninformationen oder Bitcoin-Wallets.
Dies ist ein Ausschnitt aus dem Skript, der zeigt, nach welchen Dateien alles gesucht wird:
image7.png


Und auch bei Mac-Nutzern werden jetzt Dateien gesammelt:
image6.png
 

Top