Mozilla: Bugzilla-Fehlerdatenbank gehackt
Mozilla hat eingeräumt, dass die Fehlerdatenbank Bugzilla, die auch die Firefox und Thunderbird betreffenden Fehlermeldungen enthält, gehackt wurde. Die gute Nachricht ist: Alle kritischen Fehler, auf die der Dieb Zugriff hatte, sind bereits berichtigt.
Weniger gut ist, dass der Dieb möglicherweise bereits seit September 2013 Zugriff auf den Teil der Datenbank mit bisher unveröffentlichten sicherheitskritischen Fehlern hatte. Belegt werden kann dies allerdings nur für den Zeitraum ab September 2014. Wann Mozilla den Einbruch entdeckte, bleibt offen.
Nicht alle Nutzer von Bugzilla haben Zugang zu allen dort gespeicherten Fehlern. Auf den sicherheitsrelevanten Bereich, in dem Fehlermeldungen unter anderem zu unveröffentlichten Zero-Day-Fehlern liegen, hat nur ein kleiner Teil der Nutzer Zugriff. Nach Mozillas Erkenntnis erhielt der Hacker Einlass über ein Anwenderkonto mit Zugriff auf diesen Bereich. Der Bugzilla-Nutzer hat demnach sein Passwort für den Bugtracker auch andernorts verwendet, wo der Dieb über eine gehackte Webseite in Besitz der Daten gelangen konnte.
Weiter erklärt Mozilla, der Einbrecher habe unter anderem Zugriff auf 53 Fehler gehabt, die in ihrer Gefährlichkeit als „hoch“ oder „kritisch“ eingestuft waren. Davon seien 43 in Firefox bereits behoben gewesen, als der Täter Zugriff darauf erlangte. Die Zeiträume, die dem Täter zur Ausnutzung der restlichen zehn Fehler blieben, liegen zwischen 3 und 335 Tagen. Alle diese Fehler hätten in den gegebenen Zeiträumen zu Angriffen auf Firefox-Anwender benutzt werden können, gesteht Mozilla ein.
Bekannt ist ein Exploit jedoch nur von einem dieser Fehler. Hierbei handelt es sich um eine am 6. August 2015 geschlossene Lücke, die den in Firefox integrierten PDF-Reader betrifft. Mit Firefox 40.0.3 vom 27. August, so garantiert Mozilla, seien alle Lücken geschlossen, die der Angreifer hätte ausnutzen können.
In Mozillas Blogeintrag, der durch eine FAQ (PDF) detailliert wird, erklärt Mozilla, welche Maßnahmen bereits getroffen sind und noch getroffen werden, um solche Einbrüche künftig wesentlich zu erschweren. Als erster Schritt wurden alle Bugzilla-Anwender mit Zugang zu sicherheitsrelevanten Fehlern aufgefordert, ihr Passwort zu ändern und müssen sich künftig per 2-Faktor-Authentifizierung anmelden. Zudem soll die Anzahl der privilegierten Anwender gesenkt sowie deren jeweiligen Privilegien eingeschränkt werden, wo dies Sinn macht.