![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/11\/Linux.jpg\")
Noch ein kleiner Hinweis auf eine Schwachstelle im Mozilla VPN, die bereits zum 3. August 2023 bekannt wurde. Unter Linux erm\u00f6glicht diese Schwachstelle Angreifern ohne Root-Rechte die VPN-Konfiguration anderer Nutzer zu \u00e4ndern. Matthias Gerstner, ein Sicherheitsingenieur bei SuSe hat das Problem entdeckt und bereits am 4. Mai 2023 an Mozilla gemeldet. Passiert ist nichts, die Schwachstelle blieb ungepatcht.<\/p>\n
<\/p>\n
Nicht nur Microsoft ist ein Sicherheitsrisiko<\/p>\n Unter [obigem Blog-Beitrag] referenzierst Du die zutreffende Kritik seitens Tenable an Microsofts mieser Kommunikation und Schlafm\u00fctzigkeit (die ich aus eigener, inzwischen 25-j\u00e4hriger Erfahrung mit diesem So^Haftladen nur zu gut best\u00e4tigen kann.<\/p>\n […]solch miese Kommunikation und Schlafm\u00fctzigkeit gibt es auch [andernorten] hier: Mozilla VPN: CVE-2023-4104: Privileged vpndaemon on Linux wrongly<\/a><\/p>\n<\/blockquote>\n In dem verlinkten Beitrag auf OpenWall schreibt Matthias Gerstner, dass ein openSUSE Community-Packer den Mozilla VPN-Client zur Bei dieser \u00dcberpr\u00fcfung des Mozilla VPN-Client Version 2.14.1 stellten die Leute vom SuSe Sicherheitsteam eine defekte und ansonsten fehlende Polkit Autorisierungslogik im privilegierten `mozillavpn linuxdaemon` Prozess fest. Die Entwickler von Mozilla wurden dann \u00fcber diese Schwachstelle informiert, aber nichts passierte. Nachdem die maximale Embargofrist von 90 Tagen \u00fcberschritten wurde, hat Matthias Gerstner das Ganze dann auf OpenWall<\/a> \u00f6ffentlich gemacht. Dazu schreibt er, dass die meisten der in diesem Bericht erw\u00e4hnten Probleme derzeit nicht von den Entwickler behoben werden. Details lassen sich auf OpenWall nachlesen. <\/p>\n","protected":false},"excerpt":{"rendered":" Noch ein kleiner Hinweis auf eine Schwachstelle im Mozilla VPN, die bereits zum 3. August 2023 bekannt wurde. Unter Linux erm\u00f6glicht diese Schwachstelle Angreifern ohne Root-Rechte die VPN-Konfiguration anderer Nutzer zu \u00e4ndern. Matthias Gerstner, ein Sicherheitsingenieur bei SuSe hat das … Weiterlesen Ich hatte es am Rand mitbekommen (u.a. hier<\/a>). Stefan Kanthak hat das Thema aber nochmals im Kontext mit Microsofts langsamen Patchen der Azure-Schwachstelle (siehe Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt<\/a>) nochmals mit folgender sinngem\u00e4\u00dfer Anmerkung hochgesp\u00fclt.<\/p>\n
\n
openSUSE Linux-Distribution Tumbleweed hinzuf\u00fcgen wollte. So etwas erfordert eine \u00dcberpr\u00fcfung durch das SUSE-Sicherheitsteam, weil der Mozilla VPN-Client einen privilegierten D-Bus-Dienst, der als Root l\u00e4uft, und eine Polkit-Richtlinie enth\u00e4lt.<\/p>\n