黑客攻破Mozilla Bug跟踪系统库 利用未公开漏洞攻击用户

2015-09-06 312157人围观 ,发现 6 个不明物体 网络安全资讯

黑客从Mozilla的Bug跟踪系统Bugzilla成功窃取敏感漏洞信息,并利用未公开漏洞攻击Firefox用户。

185个未公开漏洞被访问

Mozilla公司在官方博客上发布了该黑客攻击情况,并指出该次信息泄漏源于一个特权用户帐号被攻破。黑客利用该帐号登陆其它网站并造成数据泄露。然后黑客获取了Bugzilla敏感帐号的访问权限,并且能够“下载Firefox和其它Mozilla产品的安全敏感的漏洞信息”。

Mozilla对外宣称攻击者访问了185个未公开的Firefox浏览器bug,其中有53个是高危漏洞。而在当时,这些高危漏洞中有10个漏洞还未修复,其它的漏洞在最近的版本中得到了修复。

1个高危漏洞被利用

而这10个未修复的漏洞中,Mozilla公司认为其中有一个被攻击者利用了。Mozilla官方在8月初标识了该漏洞,并提醒用户“俄罗斯某个新闻网站上的广告正在利用Firefox漏洞搜索用户敏感文件并上传到乌克兰的一台服务器上”。但该漏洞已在8月6日被修复了。

Mozilla称到目前为止还未有证据证明攻破公司Bugzilla特权帐号的攻击者利用了其它的漏洞。

Bugzilla被未授权访问早有迹象

该软件公司还指出该非授权访问Bugzilla的例子在2014年9月就被证实有了,而攻击者有能力访问该系统的时间可能要追溯到2013年9月。虽然Mozilla并未揭露具体什么时候发现Buglilla开始被未授权访问的,但指出一发现这种访问后就立即关闭了该特权帐号,并联系第三方安全公司进行法律评估分析。

“我们正在更新Bugzilla的安全策略,以降低未来这种类型的攻击带来的风险。”Mozilla在博客上写道。

Mozilla做出的立即有效的第一步,是要求所有访问安全敏感信息的用户修改密码,并且使用双因素进行认证。该公司还宣称“要减少特权用户的数量,并且要限制特权用户的访问权限。”

*参考来源:Arstechnica,译/猎狐安全平台,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

相关推荐
发表评论

已有 6 条评论

取消
Loading...
arain

分享威胁情报,微信搜索“秋雨绸缪”公众号,关注后安全文章精彩不断!

8 文章数 0 评论数 0 关注者

特别推荐

文章目录

    文章目录

      推荐关注

      官方公众号

      聚焦企业安全

      填写个人信息

      姓名
      电话
      邮箱
      公司
      行业
      职位
      css.php