Firefox utvikling baserer seg i stor grad på Bugzilla, en bug tracking program som Mozilla-utviklerne bruker for å holde styr på utviklingen av funksjoner og endringer i Firefox nettleser.
De fleste feil oppføringer er tilgjengelige for offentligheten, en konto er ikke behov for lese-tilgang. Bare security-sensitiv informasjon som ikke er offentlig tilgjengelig som kriminelle kan bruke dem til å opprette utnytter og mål Firefox-brukere før flekker treffer leseren.
Sikkerhet-sensitiv informasjon er bare tilgjengelig for brukere med tilgangsrettigheter og mens det holder uautoriserte brukere i sjakk, det er ikke en 100% beskyttelse mot uautorisert tilgang.
Mozilla avslørte i dag at en angriper klarte å stjele sikkerhetssensitiv informasjon fra Bugzilla og brukte informasjonen til å angripe brukere av Firefox nettleseren i prosessen.
Angriperen klarte å ta over en privilegert kontoen til å få tilgang til sikkerhet og sensitiv informasjon på Bugzilla. Mozilla mener at angriperen brukte informasjonen til å utnytte en sårbarhet i Firefox (som ble patchet av Mozilla i mellomtiden).
Angriperen har klart å få tilgang 186 ikke-offentlige feil på Bugzilla, hvorav 53 var oppføringen sever sårbarheter og 22 mindre sikkerhetsspørsmål. Av de 53 alvorlige de, 43 hadde allerede blitt lappet av Mozilla som venstre 10 sikkerhet-relaterte feil med et vindu i tid for å målrette brukere av Firefox.
Alle sårbarheter har blitt lappet på August 27 i release versjoner av Firefox med utgivelsen av Firefox 40.0.3.
Mozilla forbedret sikkerhet for Bugzilla som en reaksjon på angrepet som beskytter privilegerte kontoer og den informasjonen disse kontoene har tilgang til.
Her er hva Mozilla gjorde i detalj
Gjøre alle brukere med privilegert tilgang til å endre passordene sine.
Håndheve 2-faktor autentisering for alle privilegerte kontoer.
Redusere antall privilegerte brukere.
Begrense hvilke brukere med tilgangsrettigheter kan gjøre.
Med andre ord, gjør vi det vanskeligere for en angriper å bryte seg i, som gir færre muligheter til å bryte deg inn i, og å redusere mengden av informasjon som en angriper kan få ved å bryte i.
De koblede FAQ avslører flere detaljer om angrepet. Angriperen fått tilgang til Bugzilla så tidlig som i September 2013. Informasjonen som samles inn av Mozilla tyder på at tilgang til passordet som ble oppnådd på en annen side er det samme passordet som ble brukt på.