Firefox ontwikkeling steunt grotendeels op Bugzilla bug-tracking applicatie die Mozilla-ontwikkelaars gebruiken om bij te houden van de ontwikkeling van functies en wijzigingen in de Firefox web browser.
De meeste bug-lijsten zijn toegankelijk voor het publiek, van een account is niet nodig voor lees-toegang. Alleen de beveiliging van gevoelige informatie zijn niet toegankelijk voor publiek als criminelen kunnen gebruik maken van exploits en doel van de Firefox-gebruikers voordat patches raakte de browser.
Beveiliging van gevoelige informatie zijn alleen toegankelijk voor gemachtigde gebruikers en terwijl die houdt van onbevoegde gebruikers op de baai, het is niet een 100% bescherming tegen ongeoorloofde toegang.
Mozilla onthulde vandaag dat een aanvaller slaagde erin om te stelen beveiliging van gevoelige informatie van Bugzilla en gebruikt de informatie om een aanval gebruikers van de Firefox-browser in het proces.
De aanvaller wist te maken over een bevoorrechte account om toegang te krijgen tot de beveiliging van gevoelige informatie op Bugzilla. Mozilla is van mening dat de aanvaller gebruikt de informatie om een exploit voor een kwetsbaarheid in Firefox (die was hersteld door Mozilla in de tussentijd).
De aanvaller erin geslaagd om toegang te krijgen tot 186 niet-openbare bugs op Bugzilla, waarvan 53 lijst sever kwetsbaarheden en 22 kleine problemen met de beveiliging. Van die 53 ernstige aard, 43 reeds hersteld door Mozilla waarbij 10 security-gerelateerde bugs met een venster van de tijd om het doel Firefox-gebruikers.
Alle kwetsbaarheden gepatched op 27 augustus in release versies van Firefox met de release van Firefox 40.0.3.
Mozilla verbeterde beveiliging voor Bugzilla als een reactie op de aanval de beveiliging van accounts en de informatie van deze accounts toegang hebben.
Hier is wat Mozilla deed in detail
Alle gebruikers met een bevoorrechte toegang tot hun wachtwoord te wijzigen.
Het afdwingen van 2-factor authenticatie voor alle accounts.
Het verminderen van het aantal gebruikers.
Beperken wat gebruikers kunnen doen.
In andere woorden, we maken het moeilijker voor een aanvaller om in te breken, waardoor minder mogelijkheden om in te breken, en het verminderen van de hoeveelheid informatie die een aanvaller kan krijgen door in te breken.
De gekoppelde FAQ onthult meer details over de aanval. De aanvaller toegang gekregen tot Bugzilla begin September 2013. De informatie die verzameld wordt door Mozilla suggereren dat de toegang tot het wachtwoord is opgedaan op een andere site hetzelfde wachtwoord gebruikt.