» »

Vdor v Bugzillo razkril ranljivosti v Firefoxu

Vdor v Bugzillo razkril ranljivosti v Firefoxu

Mozilla.org - Iz Mozille so sporočili, da je neznani napadalec nepooblaščeno dostopil do varovanega dela sistema Bugzilla, kjer so bili objavljeni hrošči in ranljivosti, ki do izdaje popravkov niso javno dostopni. Napadalec je uporabil identifikacijske podatke enega izmed upravičencev do dostopa, ki jih je slednji uporabil tudi na ostalih straneh, zato je vdor vanje razkril tudi možnost dostopa do Bugzille. Tehnično torej niso bili zlomljeni varnostni mehanizmi Bugzille, so bili pa ti pomanjkljivi in jih je Mozilla že izboljšala.

Pojasnjujejo, da je napadalec zagotovo vstopil v Bugzillo že lanskega septembra, nekateri indici pa kažejo, da je imel dostop morebiti že vse od septembra 2013. Takoj po odkritju incidenta so v Mozilli analizirali, do česa vse je imel napadalec dostop in prednostno začeli odpravljati tiste ranljivosti, ki tedaj še niso bile zakrpane. Skupno je napadale videl 185 nejavnih hroščev, od tega 22 lažjih varnostnih ranljivosti in 53 kritičnih. Izmed slednjih je bilo 43 ob poizkusu dostopa že popravljenih, preostanek pa so hitro zakrpali. Verzija Firefox z dne 27. avgusta letos je imuna na vse razkrite ranljivosti.

Ugotovili so, da so hekerji samo enega izmed odkritih hroščev dejansko uporabili tudi v napadih. V začetku avgusta so namreč v reklamah za ruske strani odkrili kos kode, ki je prebrskal uporabnikov računalnik in podatke pošiljal na strežnike v Ukrajino. Ranljivost je že odpravljena.

Da se vdor v Bugzillo ne bi ponovil, so izboljšali varnost. Prevetrili so pravice uporabnike in skrčili skupino ljudi, ki ima dostop do vseh ranljivosti. Prav tako so vse uporabnike pozvali k obvezni zamenjavi gesel, uvedli pa so tudi dvostopenjsko prijavo in strožji nadzor, kaj in kdaj ko gleda, da bi hitreje opazili sumljive vzorce obnašanja, ki bi kazali na zlorabo računa.

2 komentarja

mtosev ::

fajn je slišati, da to te luknje zdaj zakrpane
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3l, samsung 860evo, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

GizmoX ::

Kakšna imenitna ideja hekerjev - niti brskati jim ni bilo treba po izvirni kodi in iskati potencialnih hroščev. So šli kar pogledat v "imenik" hroščev:))
udirač => uni. dipl. inž. rač.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kaj je šlo narobe v British Airwaysu

Oddelek: Novice / Varnost
254883 (1903) GizmoX
»

Intelovi procesorji ranljivi zaradi skrivnega operacijskega sistema

Oddelek: Novice / Varnost
4810303 (6531) Ribič
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13930214 (20351) fujtajksel
»

Odkrita ranljivost v SSL 3.0

Oddelek: Novice / Varnost
155985 (4572) Looooooka

Več podobnih tem