Mozilla verbessert die Sicherheit von Bugzilla

firefoxBugzilla dient dazu, sowohl Fehlermeldungen zu sammeln als auch Entwickler- und Nutzerwünsche aufzunehmen. Das Gros der gesammelten Informationen ist öffentlich, prekäre Angaben zur Sicherheit können aber nur von ausgewählten Entwicklern bzw. Nutzern eingesehen werden. Leider konnten kürzlich sensible Daten durch Hacker entwendet und missbraucht werden. Laut Mozilla wurden mithilfe der gestohlenen Informationen Nutzer des Browsers Firefox attackiert. Untersuchungen laufen bereits. Mozilla will nun laut eigenen Aussagen die Sicherheit von Bugzilla stark verbessern.

Mozilla nehme den Vorfall laut einem Blog-Beitrag sehr ernst: Das Konto, mit dem sich die Angreifer Zugriff verschafft hatten, wurde bereits dichtgemacht. Die Angreifer haben offenbar im Vorfeld eine Verwundbarkeit ausgenutzt, welche Mozilla am 6. August 2015 geschlossen hatte. Wer also Firefox in der neuesten Version nutzt, muss sich keine Sorgen machen. Ab dem Update vom 27. August 2015 ist die Lücke nämlich zum Glück weggefallen. Um in Zukunft den Diebstahl von Sicherheitsinformationen zu erschweren, hat Mozilla bereits alle Nutzer aufgefordert ihr Bugzilla-Passwort zu ändern, wenn sie auf sensible Daten Zugriff haben. Außerdem müssen sich die Betroffenen ab sofort in zwei Schritten authentifizieren.

Allgemein reduziert Mozilla nun die Anzahl der Anwender mit privilegiertem Zugriff bzw. schränkt ihre Berechtigungen ein. Ob die Community dies nun als angemessenes Eingreifen werten wird oder als Einschränkung der Freiheiten / Möglichkeiten zur Mitwirkung, wird sich zeigen. In einem FAQ klärt Mozilla jedenfalls noch umfangreicher über das Ausmaß der gestohlenen Daten und die Art des Angriffs auf. So hat scheinbar ein Nutzer sein Bugzilla-Passwort auch auf anderen Websites genutzt. Eine jener Websites ließ dann unabsichtlich Daten durchsickern und so begann dann die Misere.

Insgesamt konnten Dritte dadurch auf 185 nicht-öffentliche Firefox-Bugs zugreifen. 53 davon betreffen leider „erhebliche Verwundbarkeiten“. Zehn dieser Lücken wiederum waren zum Zeitpunkt des Hacks noch offen und damit ausnutzbar. Und eben eine dieser Lücken sollen Hacker dann tatsächlich in der Praxis ausgenutzt haben.

bugzillaMozilla betont wiederholt, dass alle Sicherheitslücken, von denen die Hacker Kenntnis erlangt haben, mittlerweile in der neuesten Firefox-Version geschlossen sind. Ob das nun alle verärgerten Nutzer beruhigt, sei dahingestellt. Zumindest verspricht der Konzern mit seinen neuen Maßnahmen und weiteren Plänen die Sicherheit bei Bugzilla auf Vordermann zu bringen. Es entbehrt aber leider nicht einer gewissen Ironie, dass ausgerechnet Bugzilla gehackt wurde – denn eigentlich soll die Initiative die Sicherheit der Mozilla-Produkte verbessern.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Ein Kommentar

  1. Nach meinem Wissensstand hatte der Angreifer im September 2014 Zugriff gehabt und somit eine lange Zeit nutzen können, da die letzte Lücke eben erst seit 27.9.2015 geschlossen wurde.
    Kleiner Vorschlag zum Ausdruck:
    „Ab dem Update vom 27. August 2015 ist die Lücke nämlich zum Glück weggefallen.“
    Mit/Seit dem Update…… zum Glück behoben, schließlich ist die Lücke behoben worden und nicht die Funktion, die betroffen war, entfernt worden 😉

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.