Kritische Schwachstelle in Mozilla Firefox - aktiv ausgenützt (betrifft speziell (Web-)Entwickler und Systemadministratoren)

7. August 2015

Beschreibung

Wie Mozilla gestern bekannt gab (https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/), gibt es eine Sicherheitslücke in Mozilla Firefox, mit der sich lokale Dateien auslesen lassen.

Diese Lücke wurde "in the wild" entdeckt, das heisst sie wird bereits aktiv ausgenützt.

Details

Im bekannten Fall wurde durch dieses Problem die "Same Origin Policy" der JavaScript-Engine umgangen, und die Angreifer nutzten dies, um diverse Konfigurations-/Passwort-Dateien und private Schlüssel auszulesen.

Konkret waren das:

  • auf Windows
    • Konfigurationsdateien für subversion, s3browser, und Filezilla
    • .purple und Psi+ Account Informationen
    • sowie Dateien mit gespeicherten Zugangsinformationen von 8 verschiedenen FTP-Clients
  • auf Linux
    • die
      /etc/passwd
      -Datei, in der alle Login-Namen (keine Passwörter) enthalten sind
    • die Dateien
      .bash_history
      ,
      .mysql_history
      ,
      .pgsql_history
      - in allen zugreifbaren Home-Directories
    • Konfigurationsdateien für emina, Filezilla und Psi+
    • alle Dateien, in deren Namen "text" oder "pass" vorkommen
    • alle Shell-Scripte
    • sowie Konfigurationsdateien und Schlüssel aus
      .ssh

Es ist natürlich nicht auszuschliessen, dass auch andere Kampagnen oder gezielte Angriffe auf dasselbe Problem abzielen und etwa andere Dateien auszulesen versuchen.

Auswirkungen

Dieser Bug ist vor allem für (Web-)Entwickler und System-Administratoren relevant, da damit bereits gezielt Account-Informationen gestohlen werden.

Auch, dass speziell Firefox auf Linux im Fokus steht, ist ungewöhnlich und sollte Nutzern, die sich darauf verlassen, dass sie üblicherweise nicht im Fokus von Standard-Malware stehen, zu denken geben.

Speziell Administratoren von Systemen, die per SSH Key-Authentication zugänglich sind, sollten mit allen entsprechenden Benutzern klären, ob diese eventuell betroffen sein könnten.
Auch lokale Shell-Scripte sollten nach enthaltenen Passwörtern sowie etwaiger Key-Authentication (speziell ohne Passphrases auf den Private Keys) geprüft werden - auch und vor allem in grösseren Umgebungen. Das Potential für Angreifer, und etwaige Folgeschäden, ist gerade in solchen Umgebungen nicht zu unterschätzen.

Betroffene Systeme

Laut Mozilla sind folgende Versionen von Firefox betroffen:
  • alle Versionen vor 39.0.3
  • alle "ESR"-Versionen vor 38.1.1

Inwiefern auch Derivate wie Debian Iceweasel oder gebündelte Versionen (etwa im Tor Browser Bundle) betroffen sind, ist momentan noch nicht klar.

Nicht betroffen sind Versionen ohne integrierten PDF-Viewer, wie etwa Firefox for Android.

Abhilfe

Upgrade auf die zur Verfügung gestellten Versionen 39.0.3 bzw. ESR 38.1.1, oder (sobald verfügbar) die etwa von Linux-Distributionen bereitgestellten speziell gepatchten früheren Versionen.

Wir empfehlen, auch für gepatchte Versionen, in Mozilla Firefox den integrierten PDF-Viewer auf "jedes Mal nachfragen" zu stellen (zu finden via "Einstellungen" -> "Anwendungen" -> "Portable Document Format (PDF)").

Es ist momentan nicht bekannt, ob dieser Bug auch bei Nutzung von Plugins wie "NoScript" ausnutzbar ist. Wir empfehlen speziell technik-affinen Personen wie (Web-)Entwicklern und System-Administratoren jedoch dringend den Einsatz solcher Plugins.

Lange, komplexe Passphrases auf SSH Private Keys helfen, die Zeitspanne zu erhöhen, ab der diese Keys von Angreifern benutzt werden können. Wir empfehlen generell, wo immer möglich, Private Keys (etwa PGP/GnuPG, SSH) nicht unverschlüsselt abzulegen.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend aktualisieren - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Mozilla Security Blog (englisch)
https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
Mozilla Foundation Security Advisory 2015-78 (englisch)
https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
Red Hat Product Security Artikel über dieses Problem (englisch)
https://access.redhat.com/articles/1563163