Exploits für Firefox kursieren

07.08.2015

Anwender haben einen über Ad-Server ausgelieferten Exploit für den Firefox-Browser entdeckt. 

Wie der Firefox-Entwickler Daniel Veditz im Mozilla-Security-Blog mitteilt, haben Anwender einen Exploit entdeckt, der lokale Dateien ausspäht und auf einen Server hochlädt. Ausgeliefert wurde der Firefox-Exploit über einen russischen Ad-Server. Dabei macht er sich einen Bug in der Interaktion zwischen der Implementierung der Same Origin Policy von Javascript und dem eingebauten PDF-Viewer zunutze. Dementsprechend sind nur Firefox-Versionen betroffen, die über einen eingebauten PDF-Viewer verfügen. 

Unter Windows hat sich der Exploit vor allem für entwicklerspezifische Dateien und Verzeichnisse interessiert, etwa von Versionskontrollsystemen wie Subversion, dem S3Browser, Filezilla und anderen FTP-Clients. Auf Linux stehen die typischen Dateien und Verzeichnisse wie "/etc/passwd", ".bash_history", ".ssh" und Datenbank-Dateien wie ".mysql_history", ".pgsql_history" im Mittelpunkt des Interesses. 

Mozilla fordert alle Anwender zum Update auf gepatchte Firefox-Versionen auf, etwa Firefox 39.0.3 respektive Firefox ESR 38.1.1. Die Sicherheitslücke ist im Mozilla Foundation Security Advisory 2015-78 dokumentiert.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Java-Sicherheitslücke bedroht alle Browser und Betriebssysteme

Angreifer können eine Sicherheitslücke in Java 7 Update 6 ausnutzen, um über verschiedene Browser eigenen Code auszuführen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018