28.12.2010 12:15
Mozilla-Zugangsdaten lagen offen
Eine Datenbank mit Anmeldungsdaten von 44000 Nutzern des Add-on-Servers von Mozilla lag ungeschützt zum Download bereit. Ein Sicherheitsforscher machte die Mozilla Foundation Mitte Dezember auf diesen Missstand aufmerksam. Gestern kontaktierte Mozilla alle betroffenen Anwender per E-Mail, dass man sicherheitshalber ihre Kennwörter gelöscht und damit ihre Accounts deaktiviert habe. Wer dasselbe Kennwort auf anderen Sites benutzt hat, sollte es ändern.
Mozilla versichert, man habe alle Downloads der Datenbank nachverfolgen können – der einzige Zugriff von außen sei durch den Entdecker der Sicherheitslücke geschehen. Zudem habe die Datenbank nur die Daten inaktiver Nutzer enthalten; aktive Benutzer von addons.mozilla.org seien somit nicht betroffen.
In der betroffenen Datenbank waren Hashes der Anwender-Kennwörter im MD5-Format abgelegt. Dieses kryptografische Verfahren ist weitgehend veraltet, da es Angriffen nicht standhält. Seit April 2009 legt Mozilla alle Kennwort-Hashes nach dem SHA-512-Verfahren ab und sichert sie zusätzlich mit einer individuellen Zufallszahl (Salt) ab.
Im Dezember hatte die Mozilla Foundation eine Initiative ins Leben gerufen, bei der die Stiftung den Findern von Sicherheitslücken in Mozilla-Diensten eine Prämie zahlt.
(ghi)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
