6 Reaktionen

Heartbleed: Sicherheitswarnung von Mozilla bzgl. Persona und Firefox Accounts

Geschätzte Lesedauer:

In den letzten Tagen hat vor allem ein Thema die IT-Medien dominiert: Heartbleed. Auch Mozilla hat eine Sicherheitswarnung bezüglich seiner Dienste Persona und Firefox Accounts veröffentlicht. Zwar gebe es keine Anzeichen dafür, dass Nutzerdaten kompromittiert worden sind, Nutzer sind mit einer Änderung ihres Passwortes aber dennoch nicht schlecht beraten.

Bei Heartbleed handelt es sich um eine kritische Sicherheitslücke in OpenSSL und eines der gravierendsten Sicherheitsprobleme in der Geschichte des Internets, von welcher zahlreiche Webseiten im Web betroffen sind oder zumindest waren. Angreifern ist es aufgrund dieser Sicherheitslücke möglich, bis zu 64 KByte des Hauptspeichers auszulesen, worüber Zugriff auf Serverzertifikate und Passwörter erlangt werden kann. Besonders verheerend wird es, wenn es sich bewahrheitet, dass diese offensichtlich bereits seit zwei Jahren existierende Sicherheitslücke seit mindestens November 2013 aktiv ausgenutzt wird. Spätestens aber seit dem Bekanntwerden der Sicherheitslücke am vergangenen Montag muss davon ausgegangen werden.

Auch Mozilla hat eine Sicherheitswarnung bezüglich seiner Dienste Persona und Firefox Accounts veröffentlicht. Die meisten Server dieser beiden Mozilla-Dienste laufen über die Amazon Web Services (AWS) und deren Elastic Load Balancers (ELB) waren bis zur Schließung der Sicherheitslücke am 8. April anfällig gegen Heartbleed.

Mozilla schreibt in seinem Sicherheitsblog, dass es kein Anzeichen dafür gibt, dass einer der von Mozilla genutzten Server oder Nutzerdaten kompromittiert worden seien, aber da die Heartbleed-Attacke kaum Spuren hinterlässt, kann nicht mit Sicherheit gesagt werden, ob Heartbleed-Angriffe gegen Mozillas Infrastruktur getätigt worden sind oder nicht. Mozilla nehme die Sicherheitslücke aber sehr ernst und arbeite daran, dies schnell festzustellen.

Nachdem Amazon seine ELB-Instanzen aktualisiert hat, um die Schwachstelle zu schließen, hat Mozilla neue TLS-Schlüssel für alle Dienste generiert und alle möglicherweise offengelegte Schlüssel und Zertifikate für ungültig erklärt. Neue Sessions mit Persona oder Firefox Accounts sind damit nicht verwundbar gegenüber Heartbleed. Persona-Nutzer wurden im Rahmen der Sicherheitsmaßnahmen durch Mozilla automatisch abgemeldet und müssen sich erneut einloggen.

Als zusätzliche Sicherheitsmaßnahme empfiehlt Mozilla, die Passwörter für Persona und Firefox Accounts zu ändern. Sowohl für Persona als auch für Firefox Accounts führt eine Änderung des Passwortes dazu, dass man sich auf allen Geräten neu anmelden muss. Die Firefox-Synchronisation findet erst wieder nach einer erneuten Anmeldung statt. Nutzern, welche dasselbe Passwort für mehrere Dienste verwenden, wird nahegelegt, das Passwort auf allen diesen Diensten zu ändern.

Unabhängige Berichterstattung unterstützen.

Unterstütze wirklich unabhängige und Fakten-basierte Berichterstattung zu Mozilla, welche nicht das Ziel hat, Schlagzeilen zu produzieren, sondern objektiv zu informieren.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.

4 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Antares
    schrieb am :

    Der Vollständigkeit halber sei noch gesagt, dass der Heartbleed-Bug auch noch in lokaler Software steckt oder teilweise steckte. Davon sind oder waren unter anderem LibreOffice, Opera oder der Yahoo Messenger betroffen. Firefox betrifft das aber nicht, weil er mit NSS ne andere Bibliothek verwendet. 😉

  2. Anon
    schrieb am :

    … Zertifikate für ungültig erklärt.

    Ich kann nicht behaupten ernsthaft in der Materie drinzustecken, aber ist es derzeit nicht so, dass derzeit quasi kein Browser wirklich die Ungültigkeit von Zertifikationen prüft? Sprich die können ungültig erklärt werden wie sie wollen, ob diese Informationen aber wirklich bei uns ankommt ist doch nicht garantiert, oder?

  3. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Also ich hab in meinem Firefox schon ziemlich häufig Warnungen bzgl. ungültiger (weil zum Beispiel abgelaufener) Zertifikate gesehen, mit der Möglichkeit eine Ausnahme hinzuzufügen. 😉 Und noch ein Anzeichen dafür, dass auf Gültigkeit überprüft wird, wenn es auch in diesem Fall ein Fehler ist, ist folgender Bugreport, den ich vor ein paar Tagen angelegt habe, da geht es um einen ungültigen Zertifikatstyp:

    https://bugzilla.mozilla.org/show_bug.cgi?id=991209

    Will sagen: Es finden in jedem Fall irgendwelche Überprüfungen statt. Das größere Problem ist, dass das ganze Zertifkatssystem eine einzige Schwachstelle ist. 😉

  4. Andreas Fritsch
    schrieb am :

    Kleiner Tip für alle, die nicht genau wissen, wie heartbleed funktioniert: XKCD hat es mal wieder sehr verständlich dargestellt: http://xkcd.com/1354/

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen