«

»

Распечатать Запись

Взлом Bugzilla привел к утечке закрытой информации об уязвимостях в Firefox

Как сообщают представители Mozilla, сервис отслеживания ошибок Bugzilla был взломан, в результате чего атакующие получили доступ к сведениям о 185 уязвимостях, закрытых для публичного просмотра. Следы активности злоумышленников были выявлены в августе, но по косвенным признакам наиболее вероятной датой взлома называется сентябрь 2013 года. Таким образом, на протяжении двух лет неустановленные лица контролировали один из привилегированных аккаунтов, имеющий доступ к закрытым обсуждениям, где разбираются неисправленные критические ошибки (баги). Проанализировав возможные последствия взлома, специалисты пришли к выводу, что хакеры могли получить сведения о 53 опасных проблемах, из которых 43 уже были исправлены на момент их просмотра злоумышленниками.

bugzilla

Из 10 открытых уязвимостей две были исправлены менее чем через 7 дней после утечки, пять оставались открыты от 7 до 36 дней и три оставались неисправленными 131, 157 и 335 дней (!). Все имеющиеся проблемы были устранены в недавно вышедших обновлениях Firefox 40.0.3 и 38.2.1. Одна из незакрытых уязвимостей в PDF.js в начале августа была использована злоумышленниками для распространения вирусного ПО через рекламные блоки и сбора персональных данных пользователей.

В качестве причины взлома Bugzilla называется пренебрежение правилами безопасности - владелец одного из аккаунтов использовал общий пароль к учетным записям на разных сайтах, один из которых также был взломан. Для предотвращения подобных инцидентов для всех привилегированных аккаунтов в сервисе инициирован переход к обязательному применению двухфакторной аутентификации.

Постоянная ссылка на это сообщение: http://TestSoft.su/vzlom-bugzilla-privel-k-utechke-zakrytoi-informacii-ob-uyazvimostyah-v-firefox/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Вы можете использовать эти теги HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>