Mozilla - illetéktelenek fértek hozzá a hibakövető rendszerének privát részéhez; érzékeny sérülékenységi adatok szivárogtak ki

A Mozilla tegnap bejelentette, hogy illetéktelen(ek) fért(ek) hozzá Bugzilla hibakövető rendszere korlátozott hozzáféréssel rendelkező részéhez. Noha a hibakövető rendszer nagy része publikus, bizonyos, biztonsággal kapcsolatos, érzékeny információkat tartalmazó részéhez csak megfelelő jogosultsággal rendelkező felhasználók férhetnek hozzá. Ezen a területen tartotta a Mozilla a nem publikus, éppen javított, vagy javításra váró Firefox sebezhetőségek leírásait, részleteit. Ezekhez az információkhoz fért hozzá illetéktelen személy (vagy személyek).

A Mozilla szerint az illetéktelen hozzáférés egy megfelelő privilégiumokkal rendelkező felhasználó jelszavának kompromittálódása során vált lehetségessé. A Mozilla szerint a felhasználó egy másik oldalon is ugyanazt a jelszót használta amelyet a Bugzillában és az a másik oldal betörés/adatlopás áldozata lett. Így kerülhetett a jelszó illetéktelen kezekbe, amellyel aztán Firefoxszal és más Mozilla termékekkel kapcsolatos érzékeny információkat tudott a támadó letölteni a Bugzillából.

A Mozilla szerint a támadó 185 nem publikus hiba leírásához fért hozzá. Ezek közül 10 nem volt még akkor javítva, a többire viszont már volt javítás a Firefox akkori legfrissebb verzióiban. A támadó legelőször 2014 szeptemberében fért hozzá az adatokhoz, de vannak arra utaló jelek, hogy már 2013 szeptemberében lehetett hozzáférése.

A behatolás legsúlyosabb következménye a felhasználókra nézve az augusztus elején bejelentett szabadon keringő exploit felbukkanása lehetett.

Részletek a Mozilla bejelentésében és az általa kiadott FAQ-ban.