Представители фонда Mozilla раскрыли информацию о выявленном взломе сервиса отслеживания ошибок Bugzilla, в результате которого атакующие получили доступ к сведениям о 185 ошибках, закрытых для публичного просмотра. В качестве причины взлома Bugzilla называется пренебрежение правилами безопасности — владелец одного из привилегированных аккаунтов использовал один пароль к учетным записям на разных сайтах, в том числе на одном из сайтов, пользовательская база которого попала в руки злоумышленников в результате взлома. Первый неавторизированный вход зафиксирован в сентябре прошлого года, но имеются косвенные признаки, по которым в качестве наиболее вероятной даты называется сентябрь 2013 г.
Проанализировав возможные последствия взлома, представители Mozilla пришли к выводу, что атаковавшие могли получить сведения о 53 проблемах, описывающих опасные или критические уязвимости, из которых 43 уже были исправлены на момент их просмотра злоумышленниками, но 10 оставались открыты. Все имеющиеся проблемы были устранены в вышедших 27 августа обновлениях Firefox 40.0.3 и 38.2.1. Одна из уязвимостей (в PDF.js), фигурировавших среди неисправленных проблем, была использована злоумышленниками для распространения вредоносного ПО через рекламные блоки.
Представители Mozilla сообщили, что злоумышленники могли эксплуатировать эту уязвимость для получения данных о нераскрытых и неисправленных критических брешах в Firefox в течение года и более. Тогда пользователям Firefox угрожала реклама на российских новостных сайтах. Об одной такой проблеме компания уже рассказывала ранее, в августе 2015 г. Нет признаков того, что какие-либо другие сведения, полученные злоумышленником, были использованы против пользователей Firefox.
Для предотвращения подобных инцидентов в будущем для всех привилегированных аккаунтов в Bugzilla инициирован процесс смены паролей и переход к обязательному применению двухфакторной аутентификации. Сотрудники Mozilla даже внедрили систему доступа к закрытой информации в зависимости от уровня доступа у конкретного пользователя.
 |
 |
||||||||||||||||
|
|||||||||||||||||
 |
|||||||||||||||||
      |
|||||||||||||||||
|
|
|
|
|
|
|
||||||||||||||||||
|
Новости ИТ-бизнеса16.04.2024
В R&D центрі YouControl проаналізували звітність парламентських партій, які отримали держфінансування 16.04.2024 Маск планує зробити Х (Твітер) платним, щоб боротися з ботами 15.04.2024 Ринок CPU для датацентрів: AMD та Intel доводиться конкурувати з ARM 15.04.2024 Schneider Electric запустить проєкт циркулярності в датацентрах Digital Realty 12.04.2024 IDC прогнозує успішний рік для глобального ринку ПК Другие новости Современные решения |
|
|
|
ФорумНаступило время экспериментов (Noname, 08.04.2016 09:45:00)
Укртелеком в 4 раза снижает стоимость звонков на мобильные (СЕргей, 06.04.2016 19:11:59) Укравтодор отмечает дорожные работы и перекрытия на Яндекс.Картах (Noname, 05.04.2016 17:30:44) Яндекс.Карты объявляют конкурс для киевлян (Хтось, 17.02.2016 12:24:08) Информационная безопасность: в поисках совершенной защиты (Лариса Ершова, 09.11.2015 18:39:47) Другие темы |
|
|
||
| ГлавнаяОб изданииКак нас найтиПодписка на газетуПишите намРеклама | ||
 |
