freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客攻破Mozilla Bug跟踪系统库 利用未公开漏洞攻击用户
2015-09-06 13:38:38

黑客从Mozilla的Bug跟踪系统Bugzilla成功窃取敏感漏洞信息,并利用未公开漏洞攻击Firefox用户。

185个未公开漏洞被访问

Mozilla公司在官方博客上发布了该黑客攻击情况,并指出该次信息泄漏源于一个特权用户帐号被攻破。黑客利用该帐号登陆其它网站并造成数据泄露。然后黑客获取了Bugzilla敏感帐号的访问权限,并且能够“下载Firefox和其它Mozilla产品的安全敏感的漏洞信息”。

Mozilla对外宣称攻击者访问了185个未公开的Firefox浏览器bug,其中有53个是高危漏洞。而在当时,这些高危漏洞中有10个漏洞还未修复,其它的漏洞在最近的版本中得到了修复。

1个高危漏洞被利用

而这10个未修复的漏洞中,Mozilla公司认为其中有一个被攻击者利用了。Mozilla官方在8月初标识了该漏洞,并提醒用户“俄罗斯某个新闻网站上的广告正在利用Firefox漏洞搜索用户敏感文件并上传到乌克兰的一台服务器上”。但该漏洞已在8月6日被修复了。

Mozilla称到目前为止还未有证据证明攻破公司Bugzilla特权帐号的攻击者利用了其它的漏洞。

Bugzilla被未授权访问早有迹象

该软件公司还指出该非授权访问Bugzilla的例子在2014年9月就被证实有了,而攻击者有能力访问该系统的时间可能要追溯到2013年9月。虽然Mozilla并未揭露具体什么时候发现Buglilla开始被未授权访问的,但指出一发现这种访问后就立即关闭了该特权帐号,并联系第三方安全公司进行法律评估分析。

“我们正在更新Bugzilla的安全策略,以降低未来这种类型的攻击带来的风险。”Mozilla在博客上写道。

Mozilla做出的立即有效的第一步,是要求所有访问安全敏感信息的用户修改密码,并且使用双因素进行认证。该公司还宣称“要减少特权用户的数量,并且要限制特权用户的访问权限。”

*参考来源:Arstechnica,译/猎狐安全平台,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# mozilla # Bugzilla
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑