Ein Fehler in der JavaScript-Sandbox erlaubt einen Angriff aus dem in Firefox integrierten PDF-Viewer. Die Schwachstelle wurde bereits ausgenutzt; Mozilla hat ein Update bereitgestellt und rät zu weiteren Vorsichtsmaßnahmen.
Angreifer haben einen Fehler in der Implementierung der „Same Origin Policy“ von Firefox ausgenutzt. Das berichtet der Sicherheitsverantwortliche von Mozilla, Daniel Veditz, in einem Blog-Beitrag. Betroffen seien nur solche Firefox-Versionen, die den integrierten PDF-Viewer enthalten, dazu gehören die Desktop-Varianten.
Die Schwachstelle erlaube nicht das Ausführen beliebigen JavaScript-Codes, sondern laufe nur im „local file context“. Dadurch sei es Angreifern möglich, lokal gespeicherte Dateien zu suchen und auf eigene Server hochzuladen. Genau das ist laut Mozilla auch in dem bekanntgewordenen Exploit geschehen: Eine Anzeige auf einer russischen Website habe den bösartigen Code verbreitet, der lokale Dateien an einen Server in der Ukraine verschickt habe.
Die betreffenden Dateien seien „überraschend entwicklerzentriert“: Unter Windows habe der Exploit nach Konfigurationsdateien für Subversion, s3browser und Filezilla sowie FTP-Clients gesucht. Unter Linux seien unter anderem die Passwort-Datei /etc/passwd, User-Konfigurationen für SSH sowie History-Files für MySQL und bash betroffen. Mac-Anwender habe der entdeckte Exploit nicht zum Ziel gehabt. Sie können sich jedoch nicht in Sicherheit wiegen, da anderer Code auch sie angreifen könne.
Mozilla hat bereits ein Update für Firefox auf Version 39.0.3 veröffentlicht, das sich in der Regel selbsttätig installiert. Wer diese Automatik deaktiviert hat, sollte den Browser so schnell wie möglich manuell aktualisieren. Für die Enterprise-Variante des Browsers gibt es die Korrektur in Version ESR38.1.1. Außerdem fordert Mozilla Windows- und Linux-Anwender auf, Passwörter und Schlüssel in den erwähnten Konfigurationsdateien vorsorglich zu ändern, da der Exploit keine Spuren auf der Maschine hinterlasse. Wer einen Adblocker benutze, sei möglicherweise vor dem Angriff sicher gewesen. (Christian Kirsch) / (ck)
Ein gutes Posting Zusammenfassung