Firefox – wyciekły błędy bezpieczeństwa. Przejęcie konta na Bugzilli

Na blogu Mozilli pokazał się ostatnio ciekawy wpis – otóż wykryto że ktoś wykradał z oficjalnego bugtrackera błędy o bezpieczeństwie w Firefoksie:

(…) we are disclosing today that someone was able to steal security-sensitive information from Bugzilla

Co więcej, na samym wykradaniu się nie skończyło, ponieważ atakujący przygotował co najmniej jeden exploit i aktywnie go wykorzystywał / sprzedawał (?):

We know that an attack exploiting that vulnerability was used to collect private data from Firefox users visiting a news site in Russia.

W sumie atakujący miał dostęp do 53 błędów oznaczonych jako sec-high lub sec-critical, a „lewy” dostęp prawdopodobnie możliwy był od września 2013 roku (!) – dostęp był realizowany poprzez przejęcie dostępu do wysoko uprawnionego konta w Bugzilli.

Czy najnowsza wersja Firefoxa jest już odpowiednio załatana?

Tak, jeśli ktoś używa wersji co najmniej z 27 sierpnia tego roku, nie powinien być narażony na ataki z wykorzystaniem błędów, o których piszemy powyżej.

Więcej informacji można też przeczytać w oficjalnym FAQ odnośnie całego zdarzenia.

–ms