Image
10.9.2015 0 Comments

Ochrana Firefoxu opäť prelomená

Mozilla potvrdila, že neznámy útočník získal prístup k jej databáze na sledovanie chýb menom Bugzilla a ukradol informácie o 53 kritických bezpečnostných dierach. Minimálne jednu z nich potom využil na útok na používateľov Firefoxu.

Bugzilla je open source systém vyhľadávania porúch, ktorý využívajú platení aj neplatení developeri Mozilly nak zaznamenávanie bezpečnostných aj iných problémov a hľadanie ich riešení. Bugy sú väčšinou otvorené verejnosti, ale niektoré, najmä dlhodobé bezpečnostné chyby, sú prístupné iba privilegovaným používateľom.

Informácie o kritických chybách sú blokované pre všetkých okrem týchto vybraných používateľov ešte dlho po tom, čo býva zverejnená oprava daného problému. To preto, aby sa Mozilla uistila, že si aktualizáciu nainštaluje väčší počet používateľov Firefoxu.

Na útok, ktorý využil tieto ukradnuté informácie, Mozilla zareagovala záplatou zo 6. augusta po správach, že ruská spravodajská stránka bola zneužívaná na prístup k citlivým dátam Firefoxu a ich nahrávanie na servery na Ukrajine. Útočník vtedy odcudzil dáta vzťahujúce sa na vývojárske nástroje. Vtedajší útok teraz dáva oveľa väčší zmysel. Útočník totiž hľadal informácie, ktoré by mu pomohli lepšie využiť chyby Bugzilly a lokalizovať ďalšie chyby zabezpečenia, o ktorých vývojári diskutovali.

Mozilla vo svojom dokumente detailne odhalila časovú os celého útoku a jeho dôsledky. Podľa neho sa prístup k privilegovaným účtom datuje najmenej do septembra 2014. Niektoré indície však naznačujú, že útok sa mohol začať aj o rok skôr.

Útočníci nedokázali využiť všetkých 53 kritických bezpečnostných chýb. Podľa Mozilly bolo 43 z nich opravených skôr, ako hacker k Bugzille získal prístup. Zo zostávajúcich desiatich však tri chyby zostali otvorené. Záplata na ne nebola k dispozícii po 131 až 335 dní.

Chyby, ktoré zlodej využil, boli podľa vyhlásenia Mozilly neopravené 36 dní. Vývojár open source aplikácie už urobil opatrenia na zabezpečenie Bugzilly. Medzi tieto opatrenia patria napríklad žiadosti vlastníkov účtov s prístupom k citlivým informáciám o zmenu hesla alebo zavedenie dvojfaktorovej autorizácie.

Mozilla nabáda používateľov Firefoxu, aby svoj prehliadač aktualizovali na verziu Firefox 40, ktorá bola vydaná 27. augusta. Táto záplata opravila všetky zostávajúce chyby zabezpečenia, ktoré útočníci využili.

Zdroj: Computerworld.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Bezpečnosť

Generálmajor Jonathan Shaw: Kybernetickú bezpečnosť musí riešiť manažment, a nie IT oddelenie

25.11.2016 00:13

Pod názvom Judgment Day sa v Bratislave konal už 11. ročník konferencie zameranej na informačnú bezpečnosť. Na konferencii, ktorú pripravuje TEMPEST spolu so svojimi partnermi, sa každoročne stretáva ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá