Firefox sviluppo si basa in gran parte su Bugzilla, un bug tracking applicazione che Mozilla gli sviluppatori utilizzano per tenere traccia dell’evoluzione di funzioni e modifiche nel browser web Firefox.
La maggior parte dei bug elenchi accessibili al pubblico, un conto è non necessario per l’accesso in lettura. Solo la protezione di informazioni sensibili non sono accessibili pubblicamente, come criminali potrebbero utilizzare per creare exploit e target gli utenti di Firefox prima patch di colpire il browser.
Protezione di informazioni sensibili siano accessibili solo da utenti con privilegi e mentre che impedisce agli utenti non autorizzati a bada, non è un 100% di protezione contro l’accesso non autorizzato.
Mozilla ha rivelato oggi che un utente malintenzionato è riuscito a rubare informazioni riservate su Bugzilla e usato le informazioni per attaccare gli utenti di Firefox nel processo.
L’aggressore è riuscito a prendere più di un account con privilegi per accedere a informazioni riservate su Bugzilla. Mozilla crede che l’attaccante ha usato le informazioni per sfruttare una vulnerabilità in Firefox (che è stato patchato da Mozilla nel frattempo).
L’aggressore è riuscito a accedere 186 camere non-pubblico bug su Bugzilla, di cui 53 sono state elenco sever vulnerabilità e 22 minori problemi di sicurezza. Di questi 53 quelli gravi, 43 era già stato patchato da Mozilla, che ha lasciato 10 sicurezza problemi con una finestra di tempo per indirizzare gli utenti di Firefox.
Tutte le vulnerabilità sono state applicate le patch 27 agosto nel rilasciare versioni di Firefox con il rilascio di Firefox 40.0.3.
Mozilla migliorare la protezione per Bugzilla, come risposta all’attacco che proteggono account con privilegi e le informazioni di questi conti hanno accesso.
Ecco cosa Mozilla ha fatto in dettaglio
Rendere tutti gli utenti con accesso privilegiato cambiare le loro password.
Applicare 2-fattore di autenticazione per tutti gli account privilegiati.
Ridurre il numero di utenti privilegiati.
Il limite di ciò che gli utenti privilegiati in grado di fare.
In altre parole, si stanno rendendo difficile per un utente malintenzionato di pausa, fornendo un minor numero di opportunità di rompere, e ridurre la quantità di informazioni a un utente malintenzionato può ottenere da scasso.
Collegato FAQ rivela ulteriori dettagli sull’attacco. L’utente malintenzionato accede a Bugzilla già nel mese di settembre 2013. Le informazioni raccolte da Mozilla suggeriscono che l’accesso alla password, ottenuti su un altro sito la stessa password utilizzata.