У Bugzilla украли закрытые данные об уязвимостях
Новости Безопасность
Исследователи-безопасники постоянно твердят пользователям не использовать одни и те же пароли для разных учетных записей. Теперь же представители Mozilla обнаружили, что даже продвинутые пользователи не всегда следуют этому совету, — некий злоумышленник смог скомпрометировать учетную запись пользователя Bugzilla, используя пароль, полученный при взломе другого сайта, сообщает «Лаборатория Касперского».
Вероятно, злоумышленник знал, кого атаковать, так как целью был привилегированный пользователь, имевший ограниченный доступ к важной информации о багах безопасности в продуктах Mozilla. Bugzilla — система отслеживания багов, используемая Mozilla для ее различных проектов. Хотя большая часть информации оттуда публична, кое-что остается закрытым. Прежде всего это информация об уязвимостях системы безопасности, находящихся в процессе исправления либо в процессе оценки (такие сведения остаются конфиденциальными до момента появления патча либо до принятия компанией решения не исправлять эту уязвимость).
Представители Mozilla заявили, что данный злоумышленник мог иметь доступ к учетной записи жертвы еще с сентября 2013 года. Наиболее ранний подтвержденный случай доступа был в сентябре 2014 года. Получив в свое распоряжение учетные данные жертвы, хакер мог украсть информацию об уязвимости Firefox, которую Mozilla исправила в прошлом месяце, уже после того, как был обнаружен эксплойт для нее.
«Учетная запись, взломанная злоумышленником, была заблокирована вскоре после того, как Mozilla обнаружила, что она была скомпрометирована. Мы считаем, что хакер использовал информацию из Bugzilla для эксплуатации уязвимости, которую мы закрыли 6 августа. Нет признаков того, что какие-либо другие сведения, полученные злоумышленником, были использованы против пользователей Firefox. Релиз Firefox от 27 августа исправил все уязвимости, о которых хакер узнал и которые он мог использовать во вред пользователям Firefox», — сообщил в блоге Ричард Барнс (Richard Barnes) из Mozilla.
Баг, информацию о котором, как считают представители Mozilla, украл злоумышленник, был исправлен 6 августа. Он крылся в способе, которым браузер в некоторых случаях исполнял политику одного источника. Mozilla обнаружила баг после того, как пользователь был скомпрометирован через него после посещения российского новостного сайта, содержащего рекламные баннеры с кодом эксплойта.
Представители Mozilla заявили, что злоумышленник, получивший доступ к системе Bugzilla, мог иметь доступ к 185 различным багам, включая 53 серьезные уязвимости безопасности. Хорошая новость в том, что 43 из этих 53 изъянов уже были исправлены на момент попадания в руки хакера. Но оставшиеся 10 все еще можно было эксплуатировать.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
