De développement de Firefox s’appuie en grande partie sur le Bugzilla, un bug application de suivi que les développeurs de Mozilla permettant de suivre le développement des fonctionnalités et des changements dans le navigateur web Firefox.
La plupart des bug listes sont accessibles par le public, un compte n’est pas nécessaire pour l’accès en lecture. Seulement sensibles à la sécurité de l’information ne sont pas accessibles publiquement comme des criminels pourraient utiliser pour créer des exploits et de la cible les utilisateurs de Firefox avant de correctifs de frapper le navigateur.
Sensibles à la sécurité de l’information ne sont accessibles que par les utilisateurs privilégiés et tout ce qui maintient les utilisateurs non autorisés à la baie, il n’est pas une protection à 100% contre tout accès non autorisé.
Mozilla a annoncé aujourd’hui qu’un attaquant a réussi à voler sensibles à la sécurité de l’information à partir de Bugzilla et utilise les informations pour attaquer les utilisateurs du navigateur Firefox dans le processus.
L’attaquant a réussi à prendre un compte privilégié pour accéder à la sécurité des informations sensibles sur le Bugzilla. Mozilla estime que l’attaquant a utilisé les informations pour exploiter une vulnérabilité dans Firefox (qui a été corrigé par Mozilla dans l’intervalle).
L’attaquant a réussi à accéder à 186 de la non-public des bugs sur le Bugzilla, dont 53 ont été d’inscription sever vulnérabilités et 22 problèmes de sécurité mineurs. De ces 53 sévères, 43 ans avait déjà été corrigé par Mozilla qui, à gauche, 10 liés à la sécurité les bogues avec une fenêtre de temps de cibler les utilisateurs de Firefox.
Toutes les vulnérabilités ont été corrigées le 27 août dans libération versions de Firefox avec la sortie de Firefox 40.0.3.
Mozilla amélioration de la sécurité pour Bugzilla comme une réponse à l’attaque qui de protéger les privilèges des comptes et de l’information de ces comptes ont accès.
Voici ce que Mozilla n’en détail
Rendre tous les utilisateurs avec un accès privilégié changer leurs mots de passe.
Appliquer une authentification à 2 facteurs pour tous les comptes privilégiés.
Réduire le nombre des utilisateurs privilégiés.
La limite de ce que les utilisateurs privilégiés peuvent faire.
En d’autres termes, nous rend plus difficile pour un attaquant de briser dans, offrant moins de possibilités de pause, et de réduire la quantité d’informations qu’un attaquant peut obtenir par effraction.
Liés FAQ révèle des détails supplémentaires sur l’attaque. L’attaquant a obtenu l’accès à Bugzilla dès le mois de septembre 2013. Les informations recueillies par Mozilla suggèrent que l’accès au mot de passe a été acquise sur un autre site du même mot de passe a été utilisée.