Mozilla blijkt 10 jaar lang bugs te hebben gelekt via Bugzilla

  1. 7 okt 2014
  2. 0 reacties
bugzilla

Mozilla heeft een pijnlijke fout gemaakt. Het bedrijf verzamelt kwetsbaarheden in zijn software in het bugtracking en -testsysteem Bugzilla. De beveiliging van Bugzilla blijkt echter lek, waardoor cybercriminelen maar liefst 10 jaar lang kwetsbaarheden hebben kunnen stelen uit het systeem. Mozilla heeft cybercriminelen dus indirect geholpen door de zero-day kwetsbaarheden in het systeem te vermelden.

De problemen met de beveiliging van Bugzilla zijn ontdekt door het beveiligingsbedrijf CheckPoint. Zero-day kwetsbaarheden zijn beveiligingsgaten die nog niet eerder bekend zijn gemaakt en waar dus nog geen patches voor beschikbaar zijn. Doelwitten kunnen zich dus niet tegen de aanvallen verdedigen, wat de kwetsbaarheden voor cybercriminelen extra waardevol maakt. Dit maakt de fout van Mozilla dan ook extra pijnlijk.

Het probleem zit in de accountvalidatie van Bugzilla. Medewerkers van onder andere Mozilla en Red Hat hebben een account bij Bugzilla, wat hen in staat stelt informatie uit de database te halen. De identiteit van gebruikers wordt gecontroleerd via e-mail. Deze controle blijkt echter eenvoudig te omzeilen, waardoor hackers zich kunnen voordoen als Mozilla- of Red Hat-medewerker om toegang te krijgen tot de database. Dit is dus maar liefst 10 jaar lang mogelijk geweest. Mozilla heeft het probleem verholpen en een patch uitgebracht voor Bugzilla.

Meer over
Lees ook
G DATA: Agent Tesla opnieuw gearriveerd

G DATA: Agent Tesla opnieuw gearriveerd

Recente security-incidenten hebben een nieuwe variant van Agent Tesla aan het licht gebracht. Hierbij wordt een ongebruikelijk compressieformaat gebruikt om informatie te stelen: ZPAQ. Maar wat is dit precies en welk voordeel biedt het aan cybercriminelen?

Barracuda's nieuwe Cybernomics 101-rapport onthult de financiële aspecten achter cyberaanvallen

Barracuda's nieuwe Cybernomics 101-rapport onthult de financiële aspecten achter cyberaanvallen

Barracuda heeft zijn Cybernomics 101-rapport gepubliceerd, waarin de financiële aspecten en winstmotieven achter cyberaanvallen worden onderzocht. Uit het nieuwe rapport blijkt dat de gemiddelde jaarlijkse kosten om te reageren op securityinbreuken en -lekken meer dan 5 miljoen dollar bedragen.

Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare heeft het API Security & Management Report gepubliceerd. Dit rapport onthult dat API's meer dan ooit worden ingezet, waardoor bedrijven de deur wijd openzetten voor meer online bedreigingen dan we eerder hebben meegemaakt. Het rapport maakt inzichtelijk dat er een kloof bestaat tussen het gebruik van API’s door bedrijven en hun vermogen1