10 Reaktionen

Firefox 39.0.3 / ESR 38.1.1: Mozilla behebt Sicherheitslücke in PDF-Betrachter

Geschätzte Lesedauer:

Mozilla hat nur vier Tage vor dem kommenden planmäßigen Firefox-Update ein Sicherheits-Update für Firefox veröffentlicht, welches eine schwerwiegende Sicherheitslücke im integrierten PDF-Betrachter behebt.

Mozilla wird am kommenden Dienstag Firefox 40 veröffentlichen. Und obwohl es nur noch wenige Tage bis dahin sind, sah sich Mozilla dazu veranlasst, vorab noch ein Sicherheits-Update für Firefox 39 und Firefox ESR 38 vorzuschieben, was die Einstufung als schwerwiegende Sicherheitslücke zusätzlich unterstreicht. Konkret handelt es sich um eine Sicherheitslücke im integrierten PDF-Betrachter, welche nach Angaben von Mozilla bereits ausgenutzt wird. Ein Update ist damit für alle Nutzer dringend empfohlen, welche den integrierten PDF-Betrachter und kein Plugin zur Darstellung von PDF-Dateien nutzen. Die Sicherheitslücke erlaubt es einem Angreifer, Zugriff auf lokale Dateien zu erlangen.

Die neuen Versionen tragen die Versionsnummern 39.0.3 respektive ESR 38.1.1. Firefox ESR 31 ist von der Sicherheitslücke nicht betroffen, wird ab Dienstag im Falle von Sicherheitslücken aber auch keine weiteren Updates mehr erhalten. Nutzer von Firefox ESR 31 sollten also möglichst bald auf Firefox ESR 38 aktualisieren, falls noch nicht geschehen.

Update: Mozilla hat eine ausführliche Ankündigung veröffentlicht. Demnach existiert die Sicherheitslücke auf Windows, OS X sowie auf Linux, bekannt ist aber nur die Ausnutzung auf Windows und Linux. Wer Windows oder Linux nutzt, sollte alle gespeicherten Passwörter und Schlüssel in den folgenden Dateien ändern:

On Windows the exploit looked for subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients. On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with “pass” and “access” in the names, and any shell scripts.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

8 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. schrieb am :

    Danke dir für die Info. Wieder mal ein typisches Szenario: Firefox meldet eine neue Version. Ich frag mich, was neu ist oder gefixed wurde und Sören hat die Antwort schon parat 😀

  2. schrieb am :

    Ja, Danke für die Info.

    Nur peinlich, dass Mozilla es nicht hinbekommt, diese neue Version 39.0.3 auch auf den Servern anzubieten. Es wird nach wie vor nur die Version 39.0 von Anfang Juli heruntergeladen (beim Link direkt in Firefox aufgrund eines Sicherheit-Hinweises).

    Hier die direkten Download-Links:

    Firefox 39.0.3 DE (OS X): http://download.mozilla.org/?product=firefox-39.0.3&os=osx&lang=de

    Firefox 39.0.3 EN-US (OS X): http://download.mozilla.org/?product=firefox-39.0.3&os=osx&lang=en-US

  3. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich denke nicht, dass das peinlich ist. Die Aktualsierung der Webseiten dauert bei eigentlich jedem großen Projekt etwas länger und ich denke, dass die Verteilung des Updates erst einmal wichtiger ist. Mozilla hätte damit auch warten können, bis die Webseiten aktualisiert sind, aber damit wäre nicht wirklich jemandem geholfen. 😉

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Wichtiges Update im Artikel.

  5. der_bud
    schrieb am :

    Bei Debian Sid ist ein Update des verwendeten Iceweasel 38 ESR aus den Repos zur Zeit offenbar kaum möglich, da dort die gcc5-transition im Gange ist und Paketkonflikte auftauchen. Darf man „Ein Update ist damit für alle Nutzer dringend empfohlen, welche den integrierten PDF-Betrachter und kein Plugin zur Darstellung von PDF-Dateien nutzen“ so verstehen, dass ein Wechsel von integriert betrachten auf extern betrachten (zB Okular) erstmal reichen würde?

  6. Roman
    schrieb am :

    Zu der Sache mit den FTP-Programmen:

    Gerade habe ich bei FileZilla die Speicherung eines Passwortes überprüft. Dieses wird in der Datei „c:Users[USER]AppDataRoamingFileZillasitemanager.xml“ gespeichert.

    Das Schlimme daran ist, dass es nur als base64 kodiert ist. Sowas kann in Sekundenschnelle ausgelesen und dekodiert werden. Eigentlich schon sträflich, was dieses Programm (als Beispiel) macht. Ungeachtet dessen, dass jetzt eine Lücke im FF ist / war.

    Edit:
    Noch schlimmer ist aber, dass in den exportierten Einstellungen alle Passwörter (sofern diese mitgesichert werden) sogar im Klartext gespeichert werden.

    BTT: Wie steht es eigentlich mit der FF 40b9 x64 Ausgabe? Ist dort die Lücke auch vorhanden?

    Grüße, Roman

    P.S.: Ich bin sehr begeistert von der Konsequenz, die aus dem Auftreten der Lücke bei Mozilla gezogen wurde. Statt still und heimlich bis zum offiziellen Release zu warten, lieber etwas „den Ruf schädigen“ 😉

  7. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @der_bud:

    Darf man „Ein Update ist damit für alle Nutzer dringend empfohlen, welche den integrierten PDF-Betrachter und kein Plugin zur Darstellung von PDF-Dateien nutzen“ so verstehen, dass ein Wechsel von integriert betrachten auf extern betrachten (zB Okular) erstmal reichen würde?

    Ja, in dem Fall wäre man nicht von der Sicherheitslücke betroffen. Es kann natürlich, dass die alterantiv verwendete Lösung eigene Sicherheitslücken hat, das lässt sich nicht ausschließen.

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Roman:

    Wie steht es eigentlich mit der FF 40b9 x64 Ausgabe? Ist dort die Lücke auch vorhanden?

    Ja, das wird erst in der kommenden Betaversion behoben sein.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.