Mozilla blijkt 10 jaar lang bugs te hebben gelekt via Bugzilla

  1. 7 okt 2014
  2. 0 reacties
bugzilla

Mozilla heeft een pijnlijke fout gemaakt. Het bedrijf verzamelt kwetsbaarheden in zijn software in het bugtracking en -testsysteem Bugzilla. De beveiliging van Bugzilla blijkt echter lek, waardoor cybercriminelen maar liefst 10 jaar lang kwetsbaarheden hebben kunnen stelen uit het systeem. Mozilla heeft cybercriminelen dus indirect geholpen door de zero-day kwetsbaarheden in het systeem te vermelden.

De problemen met de beveiliging van Bugzilla zijn ontdekt door het beveiligingsbedrijf CheckPoint. Zero-day kwetsbaarheden zijn beveiligingsgaten die nog niet eerder bekend zijn gemaakt en waar dus nog geen patches voor beschikbaar zijn. Doelwitten kunnen zich dus niet tegen de aanvallen verdedigen, wat de kwetsbaarheden voor cybercriminelen extra waardevol maakt. Dit maakt de fout van Mozilla dan ook extra pijnlijk.

Het probleem zit in de accountvalidatie van Bugzilla. Medewerkers van onder andere Mozilla en Red Hat hebben een account bij Bugzilla, wat hen in staat stelt informatie uit de database te halen. De identiteit van gebruikers wordt gecontroleerd via e-mail. Deze controle blijkt echter eenvoudig te omzeilen, waardoor hackers zich kunnen voordoen als Mozilla- of Red Hat-medewerker om toegang te krijgen tot de database. Dit is dus maar liefst 10 jaar lang mogelijk geweest. Mozilla heeft het probleem verholpen en een patch uitgebracht voor Bugzilla.

Meer over
Lees ook
Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

De Stichting Etherreclame, beter bekend als Ster Reclame, zorgt voor de verkoop van reclameruimte op radio, tv en online van de Nederlandse publieke omroep. Data speelt bij alle processen een cruciale rol en moet dus altijd beschikbaar zijn, en niet te onderscheppen of manipuleren zijn. Systeem- en netwerkarchitect Marc Punte van de Ster, legt uit1

Fortinet lanceert nieuwe OT-beveiligingstoepassingen

Fortinet lanceert nieuwe OT-beveiligingstoepassingen

Fortinet introduceert nieuwe geïntegreerde oplossingen en diensten voor de beveiliging van operationele technologie (OT). De nieuwe FortiSwitch 424F, FortiExtender Vehicle 211F en verbeterde FortiGuard OT Security Service zijn speciaal ontwikkeld voor het verbinden en beschermen van OT-omgevingen. Met deze nieuwe mogelijkheden onderscheidt Fortine1

WatchGuard: Remote Access Software steeds vaker misbruikt

WatchGuard: Remote Access Software steeds vaker misbruikt

Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1