Image
10.9.2015 0 Comments

Ochrana Firefoxu opäť prelomená

Mozilla potvrdila, že neznámy útočník získal prístup k jej databáze na sledovanie chýb menom Bugzilla a ukradol informácie o 53 kritických bezpečnostných dierach. Minimálne jednu z nich potom využil na útok na používateľov Firefoxu.

Bugzilla je open source systém vyhľadávania porúch, ktorý využívajú platení aj neplatení developeri Mozilly nak zaznamenávanie bezpečnostných aj iných problémov a hľadanie ich riešení. Bugy sú väčšinou otvorené verejnosti, ale niektoré, najmä dlhodobé bezpečnostné chyby, sú prístupné iba privilegovaným používateľom.

Informácie o kritických chybách sú blokované pre všetkých okrem týchto vybraných používateľov ešte dlho po tom, čo býva zverejnená oprava daného problému. To preto, aby sa Mozilla uistila, že si aktualizáciu nainštaluje väčší počet používateľov Firefoxu.

Na útok, ktorý využil tieto ukradnuté informácie, Mozilla zareagovala záplatou zo 6. augusta po správach, že ruská spravodajská stránka bola zneužívaná na prístup k citlivým dátam Firefoxu a ich nahrávanie na servery na Ukrajine. Útočník vtedy odcudzil dáta vzťahujúce sa na vývojárske nástroje. Vtedajší útok teraz dáva oveľa väčší zmysel. Útočník totiž hľadal informácie, ktoré by mu pomohli lepšie využiť chyby Bugzilly a lokalizovať ďalšie chyby zabezpečenia, o ktorých vývojári diskutovali.

Mozilla vo svojom dokumente detailne odhalila časovú os celého útoku a jeho dôsledky. Podľa neho sa prístup k privilegovaným účtom datuje najmenej do septembra 2014. Niektoré indície však naznačujú, že útok sa mohol začať aj o rok skôr.

Útočníci nedokázali využiť všetkých 53 kritických bezpečnostných chýb. Podľa Mozilly bolo 43 z nich opravených skôr, ako hacker k Bugzille získal prístup. Zo zostávajúcich desiatich však tri chyby zostali otvorené. Záplata na ne nebola k dispozícii po 131 až 335 dní.

Chyby, ktoré zlodej využil, boli podľa vyhlásenia Mozilly neopravené 36 dní. Vývojár open source aplikácie už urobil opatrenia na zabezpečenie Bugzilly. Medzi tieto opatrenia patria napríklad žiadosti vlastníkov účtov s prístupom k citlivým informáciám o zmenu hesla alebo zavedenie dvojfaktorovej autorizácie.

Mozilla nabáda používateľov Firefoxu, aby svoj prehliadač aktualizovali na verziu Firefox 40, ktorá bola vydaná 27. augusta. Táto záplata opravila všetky zostávajúce chyby zabezpečenia, ktoré útočníci využili.

Zdroj: Computerworld.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 1

Hackerská skupina Anonymous vyhlásila vojnu Donaldovi Trumpovi

20.01.2017 00:15

Skupina Anonymous vyzvala svojich priaznivcov na útok proti novo zvolenému americkému prezidentovi Donaldovi Trumpovi. Jeden z najobľúbenejších účtov spojených s hackerskou skupinou zverejnil na Twitt ...

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá