  |
Za poslednú hodinu: 11 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Sobota, 27. apríla 2024, dnes má meniny Jaroslav |
|
Hacker kradol chyby vo Firefoxe priamo Mozille
Firefox
Spoločnosť Mozilla to oznámila v noci na dnes. Mozilla spravuje nájdené chyby a manažuje proces ich opráv cez svoj systém Bugzilla. Časť informácií v Bugzille je verejných, časť vrátane informácií o ešte neopravených chybách a detailných informácií o chybách umožňujúcich uskutočniť útoky je prístupných len privilegovaným užívateľom z Mozilly a prípadne napríklad ohlasovateľovi danej chyby. Neznámy útočník ale získal prístupové údaje k jednému privilegovanému účtu v Bugzille. Podľa spoločnosti sa mu to podarilo získaním hesla k privilegovanému účtu, ktoré užívateľ daného účtu použil aj na inej webovej stránke. Tá ale bola hacknutá a útočník tak heslo získal. Prístup do Bugzilly mal minimálne od septembra 2014, pričom existujú indície o prístupe už od septembra 2013. Za obdobie prístupu sa dostal k informáciám o celkom 185 zatiaľ nezverejnených chybách. 110 bolo nezverejnených z iných dôvodov ako bezpečnosť. Až 53 bolo ale vážnych bezpečnostných chýb. Z nich 43 bolo v čase získania informácií útočníkom už opravených v najnovšej verzii Firefoxu. K zostávajúcim desiatim chybám získal prístup ešte pred ich opravením, pričom dve boli následne opravené do 7 dní, päť od 7 do 36 dní a zvyšné tri za 131, 157 a 335 dní po tom, ako k nim útočník získal prístup. Mozilla v oznámení nevysvetľuje, prečo zostali tri vážne bezpečnostné chyby neopravené minimálne 131 až 335 dní od ich nahlásenia. Podľa Mozilly za augustovým útokom umožňujúcim cez Firefox získavať súbory z disku užívateľov bol práve útočník, ktorý získal informácie zo systému Bugzilla. Mozilla nemá žiadne "indície, že zneužíval aj ostatné chyby". Ak by ale samozrejme chyby boli zneužívané pri cielených útokoch na jednotlivcov a nie masovo, Mozilla by ich zneužívanie zrejme nemusela zachytiť. Kedy spoločnosť presne zistila prístup útočníka nie je známe, nové verzie Firefoxu 40.0.3 a ESR 38.2.1 vydané 27. augusta ale opravujú všetky chyby získané útočníkom. V reakcii na incident Mozilla výrazne sprísnila prístup do systému Bugzilla. Znížila počet privilegovaných užívateľov, zaviedla limity na ich práva a zaviedla im povinne dvojfaktorové prihlasovanie. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
