1. Location:
  2. / Computer learning >> Datamaskin læring >> Nettleser >> firefox >>

Mozilla forbedrer sikkerheten for Bugzilla etter sikkerhets breach

Mozilla forbedrer sikkerheten for Bugzilla etter sikkerhetsbrudd

Firefox utvikling avhenger i stor grad på Bugzilla, en bug tracking program som Mozilla utviklere bruker til å holde oversikt over utviklingen av funksjoner og endringer i Firefox web leseren.

De fleste feiloppføringer er tilgjengelige for offentligheten, en konto er ikke nødvendig for lesetilgang. Bare sikkerhetssensitiv informasjon er ikke tilgjengelig offentlig som kriminelle kan bruke dem til å lage exploits og målrette Firefox-brukere før patcher treffer leseren.

Sikkerhet sensitiv informasjon er kun tilgjengelig med privilegerte brukere og mens som holder uautoriserte brukere på bay, det er ikke en 100% beskyttelse mot uautorisert tilgang.

Mozilla avslørte i dag at en angriper klarte å stjele sikkerhetssensitiv informasjon fra Bugzilla og brukt informasjonen til å angripe brukere av nettleseren Firefox i prosessen.


Angriperen klarte å ta over en priviligert konto for å få tilgang til sikkerhetssensitiv informasjon på Bugzilla. Mozilla mener at angriperen brukte informasjonen til å utnytte en sårbarhet i Firefox (som ble patchet av Mozilla i mellomtiden).

Angriperen klarte å få tilgang til 186 ikke-offentlige bugs på Bugzilla hvorav 53 ble notering sever sårbarheter og 22 mindre sikkerhetsspørsmål. Av de 53 alvorlige enere, 43 hadde allerede blitt patchet av Mozilla som igjen 10 sikkerhetsrelaterte feil med et vindu av tid til å målrette Firefox-brukere.

Alle sikkerhetshull er tettet 27. august i versjoner av Firefox med utgivelsen av Firefox 40.0.3.

Mozilla forbedret sikkerhet for Bugzilla som en reaksjon på angrepet som beskytter privilegerte kontoer og informasjonen disse kontoene har tilgang til.

Her er hva Mozilla gjorde i detalj

Gjør alle brukere med privilegert tilgang endre passord.

Håndheve to-faktor autentisering for alle privilegerte kontoer.

Reduser antall privilegerte brukere.

Limit hva privilegerte brukere kan gjøre.

I andre ord, vi gjør det vanskeligere for en angriper å bryte seg inn, og gir færre muligheter til å bryte seg inn, og redusere mengden av informasjon en angriper kan få ved å bryte inn .

Det koblede FAQ avslører flere detaljer om angrepet. Angriperen fått tilgang til Bugzilla så tidlig som i september 2013. Informasjon ufarlig Mozilla foreslår at tilgang til passordet ble oppnådd på et annet nettsted samme passord ble brukt på.



Previous:
Next Page: