Mozilla verbessert die Sicherheit von Bugzilla

firefoxBugzilla dient dazu, sowohl Fehlermeldungen zu sammeln als auch Entwickler- und Nutzerwünsche aufzunehmen. Das Gros der gesammelten Informationen ist öffentlich, prekäre Angaben zur Sicherheit können aber nur von ausgewählten Entwicklern bzw. Nutzern eingesehen werden. Leider konnten kürzlich sensible Daten durch Hacker entwendet und missbraucht werden. Laut Mozilla wurden mithilfe der gestohlenen Informationen Nutzer des Browsers Firefox attackiert. Untersuchungen laufen bereits. Mozilla will nun laut eigenen Aussagen die Sicherheit von Bugzilla stark verbessern.

Mozilla nehme den Vorfall laut einem Blog-Beitrag sehr ernst: Das Konto, mit dem sich die Angreifer Zugriff verschafft hatten, wurde bereits dichtgemacht. Die Angreifer haben offenbar im Vorfeld eine Verwundbarkeit ausgenutzt, welche Mozilla am 6. August 2015 geschlossen hatte. Wer also Firefox in der neuesten Version nutzt, muss sich keine Sorgen machen. Ab dem Update vom 27. August 2015 ist die Lücke nämlich zum Glück weggefallen. Um in Zukunft den Diebstahl von Sicherheitsinformationen zu erschweren, hat Mozilla bereits alle Nutzer aufgefordert ihr Bugzilla-Passwort zu ändern, wenn sie auf sensible Daten Zugriff haben. Außerdem müssen sich die Betroffenen ab sofort in zwei Schritten authentifizieren.

Allgemein reduziert Mozilla nun die Anzahl der Anwender mit privilegiertem Zugriff bzw. schränkt ihre Berechtigungen ein. Ob die Community dies nun als angemessenes Eingreifen werten wird oder als Einschränkung der Freiheiten / Möglichkeiten zur Mitwirkung, wird sich zeigen. In einem FAQ klärt Mozilla jedenfalls noch umfangreicher über das Ausmaß der gestohlenen Daten und die Art des Angriffs auf. So hat scheinbar ein Nutzer sein Bugzilla-Passwort auch auf anderen Websites genutzt. Eine jener Websites ließ dann unabsichtlich Daten durchsickern und so begann dann die Misere.

Insgesamt konnten Dritte dadurch auf 185 nicht-öffentliche Firefox-Bugs zugreifen. 53 davon betreffen leider „erhebliche Verwundbarkeiten“. Zehn dieser Lücken wiederum waren zum Zeitpunkt des Hacks noch offen und damit ausnutzbar. Und eben eine dieser Lücken sollen Hacker dann tatsächlich in der Praxis ausgenutzt haben.

bugzillaMozilla betont wiederholt, dass alle Sicherheitslücken, von denen die Hacker Kenntnis erlangt haben, mittlerweile in der neuesten Firefox-Version geschlossen sind. Ob das nun alle verärgerten Nutzer beruhigt, sei dahingestellt. Zumindest verspricht der Konzern mit seinen neuen Maßnahmen und weiteren Plänen die Sicherheit bei Bugzilla auf Vordermann zu bringen. Es entbehrt aber leider nicht einer gewissen Ironie, dass ausgerechnet Bugzilla gehackt wurde – denn eigentlich soll die Initiative die Sicherheit der Mozilla-Produkte verbessern.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Ein Kommentar

  1. Nach meinem Wissensstand hatte der Angreifer im September 2014 Zugriff gehabt und somit eine lange Zeit nutzen können, da die letzte Lücke eben erst seit 27.9.2015 geschlossen wurde.
    Kleiner Vorschlag zum Ausdruck:
    „Ab dem Update vom 27. August 2015 ist die Lücke nämlich zum Glück weggefallen.“
    Mit/Seit dem Update…… zum Glück behoben, schließlich ist die Lücke behoben worden und nicht die Funktion, die betroffen war, entfernt worden 😉

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.