Firefox-Entwicklung stützt sich weitgehend auf Bugzilla einen bug-tracking-Anwendung, die Mozilla-Entwickler verwenden, um zu verfolgen die Entwicklung von features und änderungen in den Firefox web-browser.
Die meisten bug-Inserate sind für die öffentlichkeit zugänglich, ein Konto wird nicht benötigt für den Lesezugriff. Nur sicherheitsrelevante Informationen nicht zugänglich sind, öffentlich als kriminelle nutzen könnten, die Ihnen die Erstellung von exploits und Ziel-Benutzer von Firefox vor patches Treffer browser.
Sicherheitsrelevante Informationen sind nur zugänglich durch privilegierte Benutzer, und während das hält nicht autorisierte Benutzer an der Bucht, es ist kein 100% Schutz gegen unberechtigten Zugriff.
Mozilla heute bekannt, dass ein Angreifer es geschafft, zu stehlen sicherheitsrelevante Informationen von Bugzilla und verwendet die Informationen, die für Angriffe auf Benutzer des Firefox-browser in den Prozess.
Der Angreifer gelungen, sich über einen privilegierten account, um den Zugang zu sicherheitsempfindlichen Informationen über Bugzilla. Mozilla glaubt, dass die Angreifer die Informationen, die zu nutzen eine Sicherheitslücke in Firefox (was ausgebessert wurde von Mozilla in der Zwischenzeit).
Der Angreifer gelungen, den Zugang 186 non-public bugs auf Bugzilla davon waren 53 listing sever Schwachstellen und 22 kleinere Sicherheitsprobleme. Von diesen 53 schwerwiegend, 43 wurde bereits gepatcht, die von Mozilla, die linke 10 sicherheitsrelevante bugs mit ein Fenster der Zeit, um das Ziel Firefox-Nutzer.
Alle Sicherheitslücken gepatcht wurde am August 27 in release-Versionen von Firefox mit der Veröffentlichung von Firefox 40.0.3.
Mozilla verbessert Sicherheit für Bugzilla als Antwort auf den Angriff zum Schutz von privilegierten accounts und die Informationen, die diese Konten haben Zugriff auf die.
Hier ist, was Mozilla hat im detail
Stellen Sie alle Benutzer mit dem Zugriff ” privilegiert Ihre Passwörter ändern.
Durchsetzung der 2-Faktor-Authentifizierung für alle privilegierten accounts.
Reduzieren Sie die Anzahl der privilegierten Benutzer.
Begrenzen, was die privilegierten Benutzern ausgeführt werden können.
In anderen Worten, wir machen es schwieriger für einen Angreifer zu brechen, die weniger Chancen, Sie zu brechen in, und reduziert die Menge von Informationen, die ein Angreifer kann durch zu brechen in.
Die verlinkten FAQ enthüllt weitere details über den Angriff. Der Angreifer erlangt Zugriff auf Bugzilla bereits im September 2013. Gesammelten Informationen, die von Mozilla empfehlen, dass der Zugriff auf das Passwort erlangt worden ist, auf einer anderen Website das gleiche Passwort verwendet wurde, auf.