In der Version 39.0.3 für Firefox wurde eine kritische Sicherheitslücke im internen PDF-Viewer gefixt. Diese erlaubt die Ausführung von Javascript in lokalem Kontext, wodurch der Angreifer Zugriff auf auf dem System gespeicherte Dateien erhält.
Das Update wurde wahrscheinlich vor allem deswegen so schnell veröffentlicht, da bereits ein Exploit dafür im Umlauf ist. Nach Angaben von Mozilla soll dieser bereits in einer schädlichen Werbeanzeige genutzt wurden sein.
Der Exploit sucht dabei Mozillas Angaben zufolge nach folgenden Daten in verschiedenen Betriebssystemen nach Konfigurationsdaten um an Passwörtern und Zugangsschlüssel zu gelangen:
- Windows: subversion, s3browser, Filezilla, .purple, Psi+ und Konfigurationsdateien von 8 weiteren populären FTP-Clients
- Linux: /etc/passwd, .bash_history, .mysql_history, .pgsql_history, .ssh, remina, Filezilla, Psi+, alle Textdateien mit "pass" oder "access" im Dateinamen und alle Shell-Skripte
- Mac-Nutzer werden aktuell nicht von dem Exploit angegriffen, allerdings könnte der Exploit jederzeit modifiziert werden oder ein anderer entwickelt werden, der die Schwachstelle auch bei Mac OS ausnutzt.
Mozilla rät Windows und Linux-Nutzern alle Passwörter und Schlüssel zu ändern, die in den aufgezählten Konfigurationsdateien zu finden sind. Außerdem hinterlässt der Exploit keine Spuren auf den lokalen Maschinen und Nutzer von Adblockern könnten von dem Exploit geschützt gewesen sein, je nach verwendeter Software und Filtern.
Für die ESR-Version von Firefox wurde ebenfalls ein Patch mit der Version 38.1.1 bereitgestellt.
Quellen:
- Firefox 39.0.3 / ESR 38.1.1: Mozilla behebt Sicherheitslücke in PDF-Betrachter - soeren-hentzschel.at
- Firefox exploit found in the wild | Mozilla Security Blog