Exploits für Firefox kursieren

07.08.2015

Anwender haben einen über Ad-Server ausgelieferten Exploit für den Firefox-Browser entdeckt. 

Wie der Firefox-Entwickler Daniel Veditz im Mozilla-Security-Blog mitteilt, haben Anwender einen Exploit entdeckt, der lokale Dateien ausspäht und auf einen Server hochlädt. Ausgeliefert wurde der Firefox-Exploit über einen russischen Ad-Server. Dabei macht er sich einen Bug in der Interaktion zwischen der Implementierung der Same Origin Policy von Javascript und dem eingebauten PDF-Viewer zunutze. Dementsprechend sind nur Firefox-Versionen betroffen, die über einen eingebauten PDF-Viewer verfügen. 

Unter Windows hat sich der Exploit vor allem für entwicklerspezifische Dateien und Verzeichnisse interessiert, etwa von Versionskontrollsystemen wie Subversion, dem S3Browser, Filezilla und anderen FTP-Clients. Auf Linux stehen die typischen Dateien und Verzeichnisse wie "/etc/passwd", ".bash_history", ".ssh" und Datenbank-Dateien wie ".mysql_history", ".pgsql_history" im Mittelpunkt des Interesses. 

Mozilla fordert alle Anwender zum Update auf gepatchte Firefox-Versionen auf, etwa Firefox 39.0.3 respektive Firefox ESR 38.1.1. Die Sicherheitslücke ist im Mozilla Foundation Security Advisory 2015-78 dokumentiert.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Java-Sicherheitslücke bedroht alle Browser und Betriebssysteme

Angreifer können eine Sicherheitslücke in Java 7 Update 6 ausnutzen, um über verschiedene Browser eigenen Code auszuführen.

Artikel der Woche

OpenSSL

Als Protokoll ist SSL/TLS täglich im Einsatz. Mozilla und Google haben kürzlich erklärt, dass mehr als 50 Prozent der HTTP-Verbindungen verschlüsselt aufgebaut werden. Googles Chrome soll ab 2017 sogar vor unverschlüsselten Verbindungen warnen, wenn Sie dort sensible Daten eingeben können. In unserem Security-Tipp werfen wir einen Blick hinter die Kulissen von OpenSSL und zeigen dessen vielfältige Möglichkeiten auf. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Distro

Welche Linux-Distribution setzen Sie vorwiegend auf dem Server ein?

  • Arch Linux
  • CentOS
  • Debian
  • Fedora
  • openSUSE
  • Oracle Linux
  • Red Hat Enterprise Linux
  • SUSE Linux Enterprise Server
  • Ubuntu
  • andere Linux-Distribution
  • FreeBSD
  • OpenBSD

Google+

Ausgabe /2017

Microsite