Mozilla verbessert die Sicherheit von Bugzilla
Bugzilla dient dazu, sowohl Fehlermeldungen zu sammeln als auch Entwickler- und Nutzerwünsche aufzunehmen. Das Gros der gesammelten Informationen ist öffentlich, prekäre Angaben zur Sicherheit können aber nur von ausgewählten Entwicklern bzw. Nutzern eingesehen werden. Leider konnten kürzlich sensible Daten durch Hacker entwendet und missbraucht werden. Laut Mozilla wurden mithilfe der gestohlenen Informationen Nutzer des Browsers Firefox attackiert. Untersuchungen laufen bereits. Mozilla will nun laut eigenen Aussagen die Sicherheit von Bugzilla stark verbessern.
Mozilla nehme den Vorfall laut einem Blog-Beitrag sehr ernst: Das Konto, mit dem sich die Angreifer Zugriff verschafft hatten, wurde bereits dichtgemacht. Die Angreifer haben offenbar im Vorfeld eine Verwundbarkeit ausgenutzt, welche Mozilla am 6. August 2015 geschlossen hatte. Wer also Firefox in der neuesten Version nutzt, muss sich keine Sorgen machen. Ab dem Update vom 27. August 2015 ist die Lücke nämlich zum Glück weggefallen. Um in Zukunft den Diebstahl von Sicherheitsinformationen zu erschweren, hat Mozilla bereits alle Nutzer aufgefordert ihr Bugzilla-Passwort zu ändern, wenn sie auf sensible Daten Zugriff haben. Außerdem müssen sich die Betroffenen ab sofort in zwei Schritten authentifizieren.
Allgemein reduziert Mozilla nun die Anzahl der Anwender mit privilegiertem Zugriff bzw. schränkt ihre Berechtigungen ein. Ob die Community dies nun als angemessenes Eingreifen werten wird oder als Einschränkung der Freiheiten / Möglichkeiten zur Mitwirkung, wird sich zeigen. In einem FAQ klärt Mozilla jedenfalls noch umfangreicher über das Ausmaß der gestohlenen Daten und die Art des Angriffs auf. So hat scheinbar ein Nutzer sein Bugzilla-Passwort auch auf anderen Websites genutzt. Eine jener Websites ließ dann unabsichtlich Daten durchsickern und so begann dann die Misere.
Insgesamt konnten Dritte dadurch auf 185 nicht-öffentliche Firefox-Bugs zugreifen. 53 davon betreffen leider „erhebliche Verwundbarkeiten“. Zehn dieser Lücken wiederum waren zum Zeitpunkt des Hacks noch offen und damit ausnutzbar. Und eben eine dieser Lücken sollen Hacker dann tatsächlich in der Praxis ausgenutzt haben.
Mozilla betont wiederholt, dass alle Sicherheitslücken, von denen die Hacker Kenntnis erlangt haben, mittlerweile in der neuesten Firefox-Version geschlossen sind. Ob das nun alle verärgerten Nutzer beruhigt, sei dahingestellt. Zumindest verspricht der Konzern mit seinen neuen Maßnahmen und weiteren Plänen die Sicherheit bei Bugzilla auf Vordermann zu bringen. Es entbehrt aber leider nicht einer gewissen Ironie, dass ausgerechnet Bugzilla gehackt wurde – denn eigentlich soll die Initiative die Sicherheit der Mozilla-Produkte verbessern.
Nach meinem Wissensstand hatte der Angreifer im September 2014 Zugriff gehabt und somit eine lange Zeit nutzen können, da die letzte Lücke eben erst seit 27.9.2015 geschlossen wurde.
Kleiner Vorschlag zum Ausdruck:
„Ab dem Update vom 27. August 2015 ist die Lücke nämlich zum Glück weggefallen.“
Mit/Seit dem Update…… zum Glück behoben, schließlich ist die Lücke behoben worden und nicht die Funktion, die betroffen war, entfernt worden 😉