Eine Datenbank mit Anmeldungsdaten von 44000 Nutzern des Add-on-Servers von Mozilla lag ungeschützt zum Download bereit. Ein Sicherheitsforscher machte die Mozilla Foundation Mitte Dezember auf diesen Missstand aufmerksam. Gestern kontaktierte Mozilla alle betroffenen Anwender per E-Mail, dass man sicherheitshalber ihre Kennwörter gelöscht und damit ihre Accounts deaktiviert habe. Wer dasselbe Kennwort auf anderen Sites benutzt hat, sollte es ändern.
Mozilla versichert, man habe alle Downloads der Datenbank nachverfolgen können – der einzige Zugriff von außen sei durch den Entdecker der Sicherheitslücke geschehen. Zudem habe die Datenbank nur die Daten inaktiver Nutzer enthalten; aktive Benutzer von addons.mozilla.org seien somit nicht betroffen.
In der betroffenen Datenbank waren Hashes der Anwender-Kennwörter im MD5-Format abgelegt. Dieses kryptografische Verfahren ist weitgehend veraltet, da es Angriffen nicht standhält. Seit April 2009 legt Mozilla alle Kennwort-Hashes nach dem SHA-512-Verfahren ab und sichert sie zusätzlich mit einer individuellen Zufallszahl (Salt) ab.
Im Dezember hatte die Mozilla Foundation eine Initiative ins Leben gerufen, bei der die Stiftung den Findern von Sicherheitslücken in Mozilla-Diensten eine Prämie zahlt. (ghi)
Quelle: Heise.de