Firefox 39.0.3 / ESR 38.1.1 behebt Sicherheitslücke

Sören Hentzschel

Kurze Information: Mozilla verteilt Firefox 39.0.3 und Firefox ESR 38.1.1 und behebt damit eine schwerwiegende Sicherheitslücke im integrierten PDF-Betrachter. Die Lücke muss es in sich haben, wenn Mozilla dafür extra ein Update veröffentlicht, obwohl in vier Tagen eh das nächste planmäßge Update erscheint. Die Lücke wird bereits ausgenutzt.

https://www.mozilla.org/en-US/security…es/mfsa2015-78/

Zitronella

warum eigentlich 39.0.3 und nicht 39.0.1? wie kommt es zu dem Sprung in der Nummer?

Sören Hentzschel

39.0.1 und 39.0.2 sind bereits für die Android-Version von Firefox weg und Mozilla kann die Versionsnummern nicht unabhängig voneinander hochsetzen. 39.0.1 und 39.0.2 waren nur für Partner-Builds relevant.

Sören Hentzschel

Mozilla hat nun eine ausführliche Ankündigung veröffentlicht:
https://blog.mozilla.org/security/2015/…/comment-page-1

Bekannt ist demnach nur, dass die Sicherheitslücke auf Windows- und Linux-Systemen ausgenutzt worden ist. OS X beinhaltet zwar auch die Sicherheitslücke, aber wurde in dem bekannten Fall nicht ausgenutzt. Wer Windows oder Linux nutzt, sollte nach Empfehlung von Mozilla alle Passwörter und Keys ändern, die in den folgenden Dateien gespeichert werden:

Zitat

On Windows the exploit looked for subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients. On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with “pass” and “access” in the names, and any shell scripts.

Zitronella

Danke für die Erklärung mit der Versionsnummer.
Das ist ja echt eine heftige Lücke :o wenn sogar dazu geraten wird sämtliche Passwörter in o.g. Programmen zu ändern. Das bezieht ja auf Programme wie Filezilla und andere FTP Klienten sowie u.a. Pidgin (.purple), die Konfigurationsdateien mit Passwörtern beinhalten, wenn ich das richtig verstanden habe. Ich frage mich, wie so etwas überhaupt möglich ist, dass ein alleiniges Öffnen von einem PDF-Dokument, was mittels integrierten PDF-Betrachter in Firefox, Dateien auf meinem PC auslesen kann. Ich dachte immer, dazu müsste zumindest irgend etwas auf meinem PC eingeschleust worden sein. :twisted:
Da ich sowohl Filezilla als auch Pidgin benutze und dort zusammen ca. 30 Passwörter gespeichert habe bin ich natürlich extrem verunsichert.
Ich habe zwar in letzter Zeit mir selten PDF Dokumente im Browser an gesehen, aber man weiß ja nie.
Zudem wüsste ich gerne ob die Lücke quasi "nur" in den Standard Pfaden der o.g. Programme gucken kann, ob es dort eine Konfigurationsdatei gibt oder quasi den gesamten PC mit allen Festplatten durchsuchen kann? Ich habe nämlich sowohl Pidgin als auch Filezilla nur als portable Version auf einer separaten Partition gelegt. Wäre schön wenn mir jemand diese Frage(n) beantworten kann. Danke

Was mich etwas beruhigt ist

Zitat

People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.

Sören Hentzschel

Deine Fragen kann ich dir leider nicht beantworten. Aber faszinierend finde ich ja, was für große Auswirkungen nur wenige Zeilen Code besitzen. Das ist der Sicherheitsfix:

http://hg.mozilla.org/releases/mozil…ev/3769169d9bf8

M521

Wird die 39.0.3 nicht als solche angezeugt, sondern nur als 39.0 ?
Firefox sagt er wäre aktuell (39.0) und beim Versuch die neueste Version down zu loaden (von Mozilla.de) wird mir auch nur gratuliert, das ich die neueste Version habe.
Andererseits sagt mir die Update-Chronik das FF zuletzt am 09.07.2015 auf die Version 39.0 upgedatet wurde.
Als gehe ich mal davon aus, das die 39.0.3 noch garnicht verfügbar ist.

Road-Runner

Zitat

gehe ich mal davon aus, das die 39.0.3 noch garnicht verfügbar ist.

Doch, ist sie.

[attachment=0]fx39.png[/attachment]

Heute morgen über Hilfe - Über Firefox aktualisiert.

Die Version 39.0.3 gibt es auch hier: https://www.mozilla.org/en-US/firefox/all/

Boersenfeger

Ergänzend: Möglicherweise ist die Version noch nicht sofort für alle Anwender auf dem UpDatewege bereitgestellt. Via Download (siehe Link von Road-Runner) kannst du deinen Firefox aber auf den neuesten Stand bringen...

M521

Danke, für die schnelle Antworten.
Dann ist nur noch die Frage, warum bekommt meiner dann kein Update, bzw. meldet die Mozillaseite, das er aktuell ist?

Dann warte ich noch mit dem download, evtl. tut sich heute ja noch was.

Boersenfeger

..weil für Hunderte von Millionen von Anwendern zeitgleich ein UpDate halt nicht angeboten werden kann.. Die Server glühen garantiert...
Da die Lücke ziemlich kritisch ist und bereits ausgenutzt wird, empfehle ich dir den manuellen Download und das Drüberinstallieren. Keine Angst, dabei geschieht in der Regel nichts. Das Profil solltest du eh regelmäßig speichern, dann machst du dies davor einfach.
Kopiere zur Sicherung einfach den Profilordner regelmäßig auf ein externes Laufwerk oder einen Datenstick. Dazu muss Firefox geschlossen sein!
Ich nutze Firesave [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] dazu, da dieses Programm auch gleich ein Restore-Feature integriert hat und ohne Fehler funktioniert.
Download

spoofie

Wer so in Sorge ist, dass er noch vor dem Update von dem Angriff erwischt wird, kann ja bis dahin auf den internen pdf-Viewer verzichten.
Schwieriger ist die Frage, ob es einen nicht schon längst erwischt hat, denn es gibt keine Spuren, anhand derer man das herausbekommen könnte. Im Zeifelsfall auf Mozilla hören und die Passwörter ändern.

M521

Danke, für Eure Hilfe und Informationen.
Ich mach mich deshalb nicht verrückt. Habe auch nicht vor, in den nächsten Stunden unmengen von PDF'S aus unbekannten Quellen zu ziehen.

bud

Da in den o.g. Links von Firefox für Linux die Rede war wollte ich eigentlich gerade hier nachfragen ob damit auch Iceweasel betroffen ist. Habe aber gerade gesehen, das in Iceweasel 38.1.1 genau diese Sicherheitslücke gefixt ist (hier: Debian Sid)

Code

iceweasel (38.1.1esr-1) unstable; urgency=high


  * New upstream release.
  * Fixes for mfsa2015-78, also known as CVE-2015-4495.


  * debian/source.filter: Remove the source tarball filtering of search plugin
    icons. See 20150715221703.GD19084@glandium.org.


 -- Mike Hommey <glandium@debian.org>  Fri, 07 Aug 2015 08:34:19 +0900

Alles anzeigen

abifiz

Hallo M521.

Von dem aus was ich bisher mir angelesen habe, zb. bei Heise und den dortigen Kommentaren, aber auch von anderswoher, hab' ich nicht den Eindruck, daß die aktive Benutzung des betroffenen PDF-Viewers tatsächliche Voraussetzung für seine Angreifbarkeit ist. So weisen einige Fachleute daraufhin, daß sogar eine Abschaltung des Viewers womöglich nicht nützt. Angesichts dessen rate ich Dir meinerseits auch, wie andere vor mir im Strang, zu diesem Update ohne weitere künstliche Verzögerungen.
Einen Zusammenhang mit irgendeinem "Sich-verrückt-Machen" erschließt sich dabei mir persönlich eigentlich nicht: Das Update ist völlig problemlos. Auch mein PC hatte zu denen gehört, welche noch nicht beim Anklicken des Buttons "Über FF" das ausstehende Update meldeten, sondern zu denen, welche -- noch -- die unzutreffende Rückmeldung "Aktuell" bekamen, weil offenkundig in der "Warteliste" halt weniger günstig als andere plaziert.
Das von mir dann händisch eingeleitete Update war ein Klacks.

Die Lücke wird übrigens als recht ernsthaft beschrieben, solange ungepatcht.

abifiz

spoofie

Zitat von abifiz

hab' ich nicht den Eindruck, daß die aktive Benutzung des betroffenen PDF-Viewers tatsächliche Voraussetzung für seine Angreifbarkeit ist.

Oh ja, das hast du recht. Genaueres Lesen hätte mir in diesem Fall zum Vorteil gereicht. Aus dem von Sören verlinkten Artikel:

Zitat

The vulnerability comes from the interaction of the mechanism that enforces JavaScript context separation (the “same origin policy”) and Firefox’s PDF Viewer.

Damit ist auch klar, weshalb es dem russischen Angreifer gelungen ist, die Lücke über ein Werbebanner auszunutzen und weshalb Adblocker u.U. schützen können.
Damit zurück auf Los: Die Benutzung eines externen pdf-Betrachters hilft nicht!

Sören Hentzschel

Falsch, die Verwendung eines externen PDF-Betrachters verhindert ein Ausnutzen der Lücke. Quelle: Daniel Veditz, Security Lead Mozilla. Im selben Artikel in den Kommentaren.

spoofie

Mag sein, dann frage ich mich aber doch, weshalb davon nichts in dem offiziellen Statement steht sondern nur im Kommentar. Noch interessanter, wie es dann gelingen kann, die Lücke über Werbung auszunutzen. Ganz ohne den pdf-Betrachter überhaupt zu nutzen. Ein PDF-Werbebanner ist mir jedenfalls noch nicht untergekommen. Vielleicht weil sie alle blockiert waren?

bigpen

... und sicherheitshalber Javascript im externen Betrachter (PDF-XChange Viewer) deaktivieren?
Was bei mir sowieso schon der Fall ist.

spoofie

Hast du gepatschte Version noch nicht bekommen?