Firefox utveckling bygger till stor del på Bugzilla, en bug tracking program som Mozilla-utvecklare använder för att hålla koll på utvecklingen av funktioner och förändringar i webbläsaren Firefox.
Mest bugg listor är tillgänglig för allmänheten, ett konto som inte behövs för att läsa tillgång. Endast säkerhets känslig information är inte tillgänglig för allmänheten som brottslingar kan använda dem för att skapa bedrifter och mål Firefox-användare innan fläckar hit webbläsaren.
Säkerhet-känslig information är endast tillgänglig för privilegierade användare och medan som håller obehöriga på avstånd, det är inte ett 100% skydd mot obehörig åtkomst.
Mozilla avslöjade idag att en angripare har lyckats stjäla säkerhetskänslig information från Bugzilla och använde informationen för att attackera användare av webbläsaren Firefox i processen.
Angriparen lyckats ta över ett konto för att få tillgång till säkerhetskänslig information på Bugzilla. Mozilla anser att angriparen använt information för att utnyttja en sårbarhet i Firefox (som blev fixad av Mozilla i tiden).
Angriparen lyckats få tillgång till 186 icke-offentliga fel på Bugzilla, av vilka 53 kunde lista sever sårbarheter och 22 mindre säkerhetsfrågor. Av dessa 53 svåra sådana, 43 redan hade lappat av Mozilla som lämnade 10 säkerhetsrelaterade fel med ett fönster av tid för att rikta Firefox-användare.
Alla sårbarheter har lappat den 27 augusti i-versioner av Firefox med lanseringen av Firefox 40.0.3.
Mozilla förbättrade säkerheten för Bugzilla som ett svar på attacken, som skyddar privilegierade konton och den information som dessa konton har tillgång till.
Här är vad Mozilla gjorde i detalj
Göra alla användare med privilegierad tillgång ändra sina lösenord.
Tillämpa 2-faktors autentisering för alla privilegierade konton.
Minska antalet privilegierade användare.
Begränsa vad som är privilegierad användare kan göra.
Med andra ord, vi gör det svårare för en angripare att bryta sig in, vilket ger färre möjligheter att bryta dig in i, och minska den mängd information som en angripare kan få genom att bryta in.
Den länkade FAQ avslöjar nya detaljer om attacken. Angriparen fick tillgång till Bugzilla så tidigt som i September 2013. Information som samlas in av Mozilla tyder på att tillgång till lösenordet har fått på en annan webbplats samma lösenord används på.