Vulnerabilidades de Firefox al descubierto
Bugzilla es una herramienta web en la que los usuarios de los productos Mozilla reportan errores sobre sus productos centralizándolos en una misma plataforma. Dependiendo del tipo de error reportado este se hacía de dominio público para la comunidad o se restringía a administradores de Bugzilla. Un atacante consiguió las credenciales de acceso de un administrador, con lo que tuvo acceso a las vulnerabilidades que afectaban al navegador Firefox. Según informa Mozilla, el atacante uso la información para aprovecharse de las vulnerabilidades. Firefox lanzó el 27 de agosto una nueva versión de su navegador que corrige todas las vulnerabilidades a las que el atacante tuvo acceso. Además, Mozilla también actualizó la herramienta Bugzilla para que los usuarios con acceso a información confidencial tengan que realizar una doble autenticación.
Referencias:
- 30/08/2015 bugzilla.mozilla.org Bug 1074812 - (CVE-2014-1572) [SECURITY] The 'realname' parameter is not correctly filtered on user account creation, leading to user data override
- 04/09/2015 blog.mozilla.org Improving Security for Bugzilla
- 08/09/2015 welivesecurity.com Mozilla’s Bugzilla breached
- 05/09/2015 arstechnica.com Mozilla: data stolen from hacked bug database was used to attack Firefox
Etiquetas: