Mozilla blijkt 10 jaar lang bugs te hebben gelekt via Bugzilla

  1. 7 okt 2014
  2. 0 reacties
bugzilla

Mozilla heeft een pijnlijke fout gemaakt. Het bedrijf verzamelt kwetsbaarheden in zijn software in het bugtracking en -testsysteem Bugzilla. De beveiliging van Bugzilla blijkt echter lek, waardoor cybercriminelen maar liefst 10 jaar lang kwetsbaarheden hebben kunnen stelen uit het systeem. Mozilla heeft cybercriminelen dus indirect geholpen door de zero-day kwetsbaarheden in het systeem te vermelden.

De problemen met de beveiliging van Bugzilla zijn ontdekt door het beveiligingsbedrijf CheckPoint. Zero-day kwetsbaarheden zijn beveiligingsgaten die nog niet eerder bekend zijn gemaakt en waar dus nog geen patches voor beschikbaar zijn. Doelwitten kunnen zich dus niet tegen de aanvallen verdedigen, wat de kwetsbaarheden voor cybercriminelen extra waardevol maakt. Dit maakt de fout van Mozilla dan ook extra pijnlijk.

Het probleem zit in de accountvalidatie van Bugzilla. Medewerkers van onder andere Mozilla en Red Hat hebben een account bij Bugzilla, wat hen in staat stelt informatie uit de database te halen. De identiteit van gebruikers wordt gecontroleerd via e-mail. Deze controle blijkt echter eenvoudig te omzeilen, waardoor hackers zich kunnen voordoen als Mozilla- of Red Hat-medewerker om toegang te krijgen tot de database. Dit is dus maar liefst 10 jaar lang mogelijk geweest. Mozilla heeft het probleem verholpen en een patch uitgebracht voor Bugzilla.

Meer over
Lees ook
Sora: een historische ontwikkeling, maar mét beveiligingsrisico’s

Sora: een historische ontwikkeling, maar mét beveiligingsrisico’s

De introductie van Sora door OpenAI markeert een mijlpaal in videobewerking. De revolutionaire technologie is opwindend, maar roept tegelijkertijd vragen op over de gevolgen van de rol van AI bij het maken van digitale content en cybersecurity.

Verfijndere cyberaanvallen nog geen wake-up call

Verfijndere cyberaanvallen nog geen wake-up call

ABN ARMO: Ondanks het hoge dreigingsniveau blijft de risicoperceptie in het Nederlandse bedrijfsleven achter. Ondernemers lijken de risico’s pas te onderkennen als een aanval tot schade leidt

Terugblik met Remco Geerts van Tesorion

Terugblik met Remco Geerts van Tesorion

InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.