Mozilla blijkt 10 jaar lang bugs te hebben gelekt via Bugzilla

bugzilla

Mozilla heeft een pijnlijke fout gemaakt. Het bedrijf verzamelt kwetsbaarheden in zijn software in het bugtracking en -testsysteem Bugzilla. De beveiliging van Bugzilla blijkt echter lek, waardoor cybercriminelen maar liefst 10 jaar lang kwetsbaarheden hebben kunnen stelen uit het systeem. Mozilla heeft cybercriminelen dus indirect geholpen door de zero-day kwetsbaarheden in het systeem te vermelden.

De problemen met de beveiliging van Bugzilla zijn ontdekt door het beveiligingsbedrijf CheckPoint. Zero-day kwetsbaarheden zijn beveiligingsgaten die nog niet eerder bekend zijn gemaakt en waar dus nog geen patches voor beschikbaar zijn. Doelwitten kunnen zich dus niet tegen de aanvallen verdedigen, wat de kwetsbaarheden voor cybercriminelen extra waardevol maakt. Dit maakt de fout van Mozilla dan ook extra pijnlijk.

Het probleem zit in de accountvalidatie van Bugzilla. Medewerkers van onder andere Mozilla en Red Hat hebben een account bij Bugzilla, wat hen in staat stelt informatie uit de database te halen. De identiteit van gebruikers wordt gecontroleerd via e-mail. Deze controle blijkt echter eenvoudig te omzeilen, waardoor hackers zich kunnen voordoen als Mozilla- of Red Hat-medewerker om toegang te krijgen tot de database. Dit is dus maar liefst 10 jaar lang mogelijk geweest. Mozilla heeft het probleem verholpen en een patch uitgebracht voor Bugzilla.

Lees ook
LANCOM Systems zorgt met gratis update voor aanzienlijke prestatieverbeteringen bij Enterprise VPN en SD-WAN

LANCOM Systems zorgt met gratis update voor aanzienlijke prestatieverbeteringen bij Enterprise VPN en SD-WAN

Met de nieuwste firmware-update biedt LANCOM Systems een prestatie-upgrade voor grote SD-WAN's en VPN-netwerken op de locaties. De doorvoersnelheid van de centrale gateway LANCOM ISG-8000 neemt dankzij de update toe tot maximaal 10 Gbps. Tegelijkertijd wordt de tijd om over te schakelen van de ene IPSec VPN-verbinding naar de andere teruggebracht tot...

Operation SpoofedScholars - in gesprek met TA453

Operation SpoofedScholars - in gesprek met TA453

Sinds januari 2021 probeert TA453 gevoelige informatie van mensen te stelen door zich voor te doen als Britse academici van de School of Oriental and African Studies (SOAS) van de Universiteit van Londen. De cybercriminele groep is een APT en helpt volgens Proofpoint zeer waarschijnlijk de Islamic Revolutionary Guard Corps (IRGC) bij het verzamelen...

Bitdefender onderzoek: Trickbot allesbehalve verslagen

Bitdefender onderzoek: Trickbot allesbehalve verslagen

Trickbot is springlevend. Sterker nog, ze winnen aan slagkracht door snel functionaliteit en mogelijkheden toe te voegen aan hun malware en infrastructuur.