Firefox udvikling i vid udstrækning bygger på Bugzilla, en bug tracking program, der Mozilla udviklere bruge til at holde styr på udviklingen af funktioner og ændringer i Firefox web browser.
De fleste fejl lister er tilgængelige for offentligheden, på en konto, er der ikke behov for læse-adgang. Eneste sikkerhed-følsomme oplysninger er ikke tilgængeligt for offentligheden, som kriminelle kan bruge dem til at skabe udnytter og mål Firefox-brugere, før patches ramme browser.
Sikkerhed-følsomme oplysninger er kun tilgængelige for privilegerede brugere og mens, der holder uautoriserede brugere ved bugten, det er ikke en 100% beskyttelse mod uautoriseret adgang.
Mozilla afslørede i dag, at en hacker formået at stjæle sikkerhed-følsomme oplysninger fra Bugzilla og brugte oplysningerne til at angribe brugere af Firefox-browseren i processen.
Angriberen har formået at overtage en privilegeret konto for at få adgang til security-følsomme oplysninger på Bugzilla. Mozilla mener, at angriberen brugte oplysningerne til at udnytte en sårbarhed i Firefox (som blev lappet sammen med Mozilla i mellemtiden).
Angriberen har formået at få adgang til 186 ikke-offentlige bugs på Bugzilla, som 53 blev notering sever sårbarheder og 22 mindre sikkerhedsspørgsmål. Af de 53 alvorlige dem, 43 var allerede blevet lappet af Mozilla, som venstre 10 sikkerhedsrelaterede fejl med et vindue af tid til at målrette Firefox-brugere.
Alle sårbarheder er blevet lappet, August 27 i versioner af Firefox med udgivelsen af Firefox 40.0.3.
Mozilla forbedret sikkerhed for Bugzilla, som en reaktion på angrebet, som beskytter privilegeret regnskab og de oplysninger, disse konti har adgang til.
Her er, hvad Mozilla gjorde i detaljer
Gøre alle brugere med privilegeret adgang til at ændre deres adgangskoder.
Håndhæve 2-faktor-autentificering for alle privilegerede konti.
Reducere antallet af privilegerede brugere.
Begrænse, hvad privilegerede brugere kan gøre.
Med andre ord, vi gør det sværere for en hacker at bryde ind i, hvilket giver færre muligheder for at bryde ind, og reducere mængden af oplysninger, som en hacker kan få ved at bryde ind.
De linkede FAQ-viser yderligere detaljer om angrebet. Den hacker har fået adgang til Bugzilla så tidligt som i September 2013. Oplysninger, der indsamles af Mozilla tyder på, at adgang til adgangskoden, der blev opnået på et andet websted den samme adgangskode, som blev brugt på.