The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Взлом Bugzilla привёл к утечке информации о критических уязвимостях в Firefox

04.09.2015 22:12

Представители проекта Mozilla раскрыли информацию о выявленном взломе сервиса отслеживания ошибок Bugzilla, в результате которого атакующие получили доступ к сведениям о 185 ошибках, закрытых для публичного просмотра. Следы активности злоумышленников были выявлены в августе, но непонятно как давно был совершён взлом. Первый неавторизированный вход зафиксирован в сентябре прошлого года, но имеются косвенные признаки, по которым в качестве наиболее вероятной даты называется сентябрь 2013 года.

Всё это время атаковавшие могли контролировать один из привилегированных аккаунтов, имеющий доступ к закрытым обсуждениям, в которых разбираются неисправленные критические уязвимости. Проанализировав возможные последствия взлома, представители Mozilla пришли к выводу, что атаковавшие могли получить сведения о 53 проблемах, описывающих опасные или критические уязвимости, из которых 43 узявимости уже были исправлены на момент их просмотра злоумышленниками, но 10 проблем оставались открыты.

Из 10 открытых проблем 2 были исправлены менее чем через 7 дней после утечки, 5 оставались открыты от 7 до 36 дней, оставшиеся уязвимости оставались неисправленными 131, 157 и 335 дней. Все имеющиеся проблемы были устранены в вышедших 27 августа обновлениях Firefox 40.0.3 и 38.2.1. Одна из уязвимостей (в PDF.js), фигурировавших среди неисправленных в течение 36 дней проблем, в начале августа была использована злоумышленниками для распространения вредоносного ПО через рекламные блоки и сбора персональных данных пользователей.

В качестве причины взлома Bugzilla называется пренебрежение правилами безопасности - владелец одного из привилегированных аккаунтов использовал один пароль к учетным записям на разных сайтах, в том числе на одном из сайтов, пользовательская база которого попала в руки злоумышленников в результате взлома. Для предотвращения подобных инцидентов в будущем для всех привилегированных аккаунтов в Bugzilla инициирован процесс смены паролей и переход к обязательному применению двухфакторной аутентификации.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Служба безопасности Mozilla прокомментировала утечку параметров аккаунтов 50 участников проекта
  3. OpenNews: Выявлена возможная утечка хэшей паролей разработчиков Mozilla
  4. OpenNews: Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL
  5. OpenNews: Проект Mozilla объявил о возможной утечке 97 тысяч аккаунтов тестового сервера Bugzilla
  6. OpenNews: В Bugzilla устранена опасная уязвимость, открывшая новый вид атак на web-приложения
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42912-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 23:25, 04/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >пренебрежение

    Вот если бы это было не так, то было бы интересно. Современные системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько, что ломать их бесполезно. Ломать нужно людей.

     
     
  • 2.4, Аноним (-), 23:38, 04/09/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да ладно вам, это точно не про Bugzilla. Очень похоже, что взлом через дыру в Bugzilla умолчали и всё списали на утечку пароля пользователя.

    http://www.opennet.dev/opennews/art.shtml?num=40319
    03.08.2014 Выявлена возможная утечка хэшей паролей разработчиков Mozilla

    http://www.opennet.dev/opennews/art.shtml?num=40491
    29.08.2014  Проект Mozilla объявил о возможной утечке 97 тысяч аккаунтов тестового сервера Bugzilla

    http://www.opennet.dev/opennews/art.shtml?num=40766
    07.10.2014 В Bugzilla устранена опасная уязвимость, открывшая новый вид атак на web-приложения

    Обратим внимание на даты 29.08.2014 и 03.08.2014 в контексте фразы из нынешней новости "Первый неавторизированный вход зафиксирован в сентябре прошлого года". Интересное совпадение, правда?

     
     
  • 3.5, Аноним (-), 23:42, 04/09/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    С сентябрём 2013 хорошо коррелирует эта новость http://www.opennet.dev/opennews/art.shtml?num=37170

    14.06.2013 Служба безопасности Mozilla прокомментировала утечку параметров аккаунтов 50 участников проекта - "Прямой или косвенной информации, свидетельствующей о возможной утечке хэшей паролей пока нет" - теперь есть:-)

     
  • 2.18, Аноним (-), 07:41, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Современные системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько, что ломать их бесполезно.

    Я думал что таких тупых и наивных людей на этой планете просто нет.. ну, допустим, хотя бы среди осиливших писменность. Но опеннет никогда не перестаёт удивлять притягиванием подобных талантов.

     
  • 2.32, Меломан1 (?), 22:19, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>пренебрежение
    > Вот если бы это было не так, то было бы интересно. Современные
    > системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько,
    > что ломать их бесполезно. Ломать нужно людей.

    Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена файлов. 3. Храните копию шифрованных данных в облаке.
    EncFS в помощь.


     
     
  • 3.42, Аноним (-), 21:03, 07/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>пренебрежение
    >> Вот если бы это было не так, то было бы интересно. Современные
    >> системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько,
    >> что ломать их бесполезно. Ломать нужно людей.
    > Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена
    > файлов. 3. Храните копию шифрованных данных в облаке.
    > EncFS в помощь.

    В облаке с чужим полным физическим доступом, да?

     
     
  • 4.52, Crazy Alex (ok), 22:41, 07/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да. В облаке с полным чужим физическим доступом. Ваши данные, зашифрованные локально. Если вменяемо сделано (с чем у EncFS, насколько я помню, есть проблемы) - то всё вполне надёжно.
     

  • 1.2, Аноним (-), 23:34, 04/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > использовал один пароль к учетным записям на разных сайтах

    Ну кто бы сомневался в этих хипстерах.

    >  к обязательному применению двухфакторной аутентификации.

    Правильно. Пусть в мозилла корп остаются только хипстеры, которых к безопасности приучают пи..лями, в стойло. Правда вот мне кажется что безопаснее не станет.

    И да, в всех этих планах почему-то не фигурирует "быстренько починить 185 багов". С хрена ли у них вообще 185 критикалов висит???

     
     
  • 2.6, Аноним (-), 00:04, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что они делают какой-то продукт, нет?
     
     
  • 3.8, Crazy Alex (ok), 00:25, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Нет. Потому что приоритеты расставлены как в Майкрософте. а надо бы - СНАЧАЛА закрыть эти баги, а потом возвращаться ко всему остальному.
     
     
  • 4.11, Аноним (-), 02:06, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > СНАЧАЛА закрыть эти баги, а потом возвращаться ко всему остальному.

    Ну так у них приоритет - срубить бабла с юзерей, выгодно продав userbase. При этом надо делать вид что все шоколадно, иначе продажи завянут. На самом деле может и не быть шоколадно - после слива бренда это уже всем пофиг будет. И даже если все развалится, манагеры успеют настрелять себе на яхты и виллы и вовремя сдрапают на другой Титаник.

     
  • 4.31, Аноним (-), 21:16, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проблема в том, что пока ты исправишь все баги, тебя Chrome сожрет.
     
     
  • 5.33, Crazy Alex (ok), 03:21, 06/09/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А так не сожрёт? Лично я после этой новости ни одному человеку мозиллу не порекомендую. Даже seamonkey - поостерегусь.

    Да и пусть жрёт, в общем-то. Клюнет их жареный петух - глядишь, поменяют позицию. Ну, или другой кто подхватит. Учитывая, что они больше страдают разнообразной ерундой, чем браузер разрабатывают (ага, Daala и свой язык программирования - жуть как необходимы) - ресурсов,  видать, не так много надо.

     
     
  • 6.41, Аноним (-), 14:34, 07/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не поверите, но Daala куда более необходима, чем Firefox.
     
     
  • 7.51, Crazy Alex (ok), 22:39, 07/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Чего ради? VP9 есть уже сейчас. Но - ок. переименовались бы в Daala Inc. и занимались бы только ею. Но нет - пытаются делать кучу вещей параллельно, с предсказуемым результатом - везде лажа какая-то.
     
     
  • 8.58, count0krsk (ok), 11:48, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это принцип Good Enough, его ещё китайцы используют В условиях конкурентной б... текст свёрнут, показать
     
  • 3.9, draw (?), 00:29, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Потому что они делают какой-то продукт, нет?

    Вроде программы делают, а выходит только продукт какой-то... Может потому что критические баги не чинят?

     
  • 3.10, Аноним (-), 01:48, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Потому что они делают какой-то продукт, нет?

    В последнее время они занимаются маркетинговым булшитом и монетизацией, по моим наблюдениям. И конечно же двухфакторная авторизация заменит хипстоте мозги. Тут один уже писал - мол, а в чем проблема засветить пароль? Я же смсочку получаю! Знаете, если пользователь кpeтин - там и десятифакторная авторизация не поможет.

     
  • 2.12, Orsi (?), 02:58, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Не о каких 185 "ВИСЯЩИХ критикалах" речи нет . На момент утечки открыты были только 10 - читаем внимательнее . Перечисленны все о которых МОГЛИ узнать , открытые и исправленные вместе .
     
     
  • 3.14, Анончег (?), 05:15, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Не о каких 185 "ВИСЯЩИХ критикалах" речи нет . На момент утечки
    > открыты были только 10 - читаем внимательнее . Перечисленны все о
    > которых МОГЛИ узнать , открытые и исправленные вместе .

    "Шарик, ты балбес"(С)

    Достаточно и одной единственной критической дыры, а их было как минимум десять !

    Кого ты тут пытаешься обелить? Рукожопов из Моззилки, которые с 2013 года не знали что они взломаны? Пусть даже их взломали, но иметь такое количество критических ошибок и продолжать заниматься перепилкой интерфейсных рюшечек и запилом чатиков в браузер... это переходит всякие разумные границы.

     
     
  • 4.16, VEG (ok), 06:00, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как, интересно, ты предлагаешь узнать, что они взломаны, если просто кто-то посторонний просто пользовался учёткой одного из разработчиков? Очередной диванный аналитег?
     
     
  • 5.28, Crazy Alex (ok), 16:45, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    во-первых, раз уж мозилловцы стоько кричат о безопасности, могли бы у себя вменяемую безопасность поддерживать.

    Во-вторых - то, что у них вообще месяцами (а то и годами) висели баги, которые они не рисковали обнародовать - уже достаточная причина, чтобы считать их рукожопами. Есть опасный баг? Останови разработку фич, переключи на него ресурсы, сделай хотя бы workaround, выкати, обнародуй информацию о проблеме, пофикси по-нормальному если возможно, а потом вернись к фичам. Это ж азбука.

     
  • 4.19, Orsi (?), 08:15, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Столько" ошибок за один день накопилось что ли ? Сколько у хрома , флеша или , не на ночь говоря , виндусни за один - два года ошибок ? Всё это исправляется . Долго разбирались только с 3 , остальные сразу пофиксили .
     
     
  • 5.23, Crazy Alex (ok), 14:52, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ты дурак или прикидываешься? С тем же pdf.js, как только появился баг, угрожающий безопасности, и стало ясно, что за пол-дня его не закрыть - первое, что надо, по уму, делать - делать внеочередной апдейт, блокирующий его на фиг, раз уж у них политика такова, что о безопасности заботятся они, а не местный админ.
     
  • 5.30, Аноним (-), 18:00, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >  Всё это исправляется . Долго
    > разбирались только с 3 , остальные сразу пофиксили .

    Судя по
    https://www.cvedetails.com/top-50-products.php
    идут на рекорд –  не хватает самую малость, чтобы обогнать ядро по количеству ошибок в целом.
    А уж если смотреть на "code execution errors", то лиса – несомненный чемпион, переплюнувший и адобу и жабу и осликов :)

     

  • 1.7, Аноним (-), 00:19, 05/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Security through obscurity wins!
     
  • 1.20, Аноним (-), 09:57, 05/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    у нас бы виновен был сервис отслеживания ошибок
     
     
  • 2.29, Crazy Alex (ok), 16:46, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, у кго как...
     

  • 1.21, Аноним (-), 10:49, 05/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    припрятали дыры и давай пилить псевдофичи, итог очевиден
     
     
  • 2.22, Xaionaro (ok), 13:42, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, тот же Red Hat делает так же… Не хочу разжигать очередную ветку бесполезной беседы по поводу systemd, но тем ни менее.
     
     
  • 3.35, Аноним (-), 08:30, 06/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В редхете багзилла открыта. Может их там несколько, и в закрытых самые злобные баги перечислены, хз.
     
     
  • 4.49, Xaionaro (ok), 21:59, 07/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > В редхете багзилла открыта.

    Ну-ну:
    - https://bugzilla.redhat.com/show_bug.cgi?id=859151
    - https://bugzilla.redhat.com/show_bug.cgi?id=858746
    - https://bugzilla.redhat.com/show_bug.cgi?id=859931
    [...]

    (искал баги безопаности, связанные с systemd)

     
  • 3.36, Аноним (-), 09:33, 06/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну, тот же Red Hat делает так же… Не хочу разжигать очередную
    > ветку бесполезной беседы по поводу systemd, но тем ни менее.

    Редхат для начала воротит туеву хучу работы. А так то да, не ошибается тот кто ничего не делает.

     
     
  • 4.50, Xaionaro (ok), 22:03, 07/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну, тот же Red Hat делает так же… Не хочу разжигать очередную
    >> ветку бесполезной беседы по поводу systemd, но тем ни менее.
    > Редхат для начала воротит туеву хучу работы.

    Никак не противоречит сказанному мной.

     

  • 1.24, Megabit (ok), 14:58, 05/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то мне говорит, что релизы от "мурзилки" сейчас посыпятся как из рога изобилия, прикрывая этим то самое "латание" рассекреченных дыр... ;)
     
  • 1.25, Аноним (-), 15:33, 05/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Взлом Bugzilla?
     
     
  • 2.26, Аноним (-), 15:52, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пароль 123 у разработчика Mozilla
     
     
  • 3.27, Аноним (-), 16:44, 05/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Очень лаконичная беседа!
     

  • 1.34, Аноним (-), 03:29, 06/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена файлов. 3. Храните копию шифрованных данных в облаке.

    EncFS в помощь.

    Вот именно через "облако" пароли и пропадают! Лучше уж назначить сложный пароль, чем хранить все в "облаке".

    P.S. А зачем шифровать? Вам есть, что скрывать?

     
     
  • 2.37, Аноним (-), 09:34, 06/09/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > P.S. А зачем шифровать? Вам есть, что скрывать?

    Ну так вы опубликуйте сюда ваши логины, пароли, паспортные данные, номера кредиток и что там еще. А мы посмотрим - есть вам что скрывать, или нет :)

     
     
  • 3.47, Аноним (-), 21:11, 07/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> P.S. А зачем шифровать? Вам есть, что скрывать?
    > Ну так вы опубликуйте сюда ваши логины, пароли, паспортные данные, номера кредиток
    > и что там еще. А мы посмотрим - есть вам что
    > скрывать, или нет :)

    Вы серьезно оба считаете, что шифрование в облаке при физическом доступе к виртуальной машине третьих лиц от чего бы то ни было спасет?

     
     
  • 4.53, Аноним (-), 11:17, 08/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вы серьезно оба считаете, что шифрование в облаке при физическом доступе к
    > виртуальной машине третьих лиц от чего бы то ни было спасет?

    Очень зависит от того где делается шифрование и где хранится ключ.


     
     
  • 5.56, Crazy Alex (ok), 00:38, 09/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    И от кого защищаемся. Если облако Амазона - то скорее всего ФСБ у нему таки доступа не имеет.
     
     
  • 6.57, Аноним (-), 03:33, 09/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > скорее всего ФСБ у нему таки доступа не имеет.

    Вот это бабушка надвое сказала. Начиная от того что даже они таки могут кой-как сколотить хакерскую группировку для поимения потенциального противника и заканчивая тем что "ворон ворону глаз не выклюет" и поэтому по ряду вопросов можно и договориться, даже и не в лучшие времена. Ну вон какие-нибудь решения интерпола - худо-бедно выполняются же.

     

  • 1.38, Аноним (-), 14:40, 06/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >владелец одного из привилегированных аккаунтов использовал один пароль к учетным > записям на разных сайтах, в том числе на одном из сайтов, пользовательская база > которого попала в руки злоумышленников в результате взлома

    ashley madison что-ли? серьёзно?

     
  • 1.39, Анатолий (??), 17:11, 06/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Mozilla и меня разочаровывали последнее время, уходим на аналог, отечественный лучше бы для поддержки. На возражения могу ответить, что сейчас как раз самое время создать что-то стоящее. Давно пора, не умничать и критиковать, а делать...
     
     
  • 2.40, Аноним (-), 18:21, 06/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага пользуйся своим проприетарным Yandex Browser!
     
  • 2.55, пох (?), 19:46, 08/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Mozilla и меня разочаровывали последнее время, уходим на аналог, отечественный лучше бы
    > для поддержки. На возражения могу ответить, что сейчас как раз самое
    > время создать что-то стоящее. Давно пора, не умничать и критиковать, а
    > делать...

    ну сделай, чо. Проект PaleMoon был поднят одним человеком, помогать ему стали потом, когда оно уже было работающим хотя бы на одной платформе.

    Предвижу эпикфейл в виду полного отсутствия в Рашке отечественных программистов подобного рода, не занятых по двенадцать часов в день работой на жрат.
    Для студента в летние каникулы - объем немножко великоват даже для подобного форка. Не говоря уже о попытках слепить свое с нуля или с какой-нибудь хорошей точки но в далеком прошлом, чтобы не спотыкаться о кривые лицензии.


     
     
  • 3.59, count0krsk (ok), 11:55, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    И именно поэтому нужно создать новое "Министерство по развитию программного обеспечения", поставить туда главой Васильеву, и начать многомиллиардное имортозамещение.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру