Mozilla blijkt 10 jaar lang bugs te hebben gelekt via Bugzilla

  1. 7 okt 2014
  2. 0 reacties
bugzilla

Mozilla heeft een pijnlijke fout gemaakt. Het bedrijf verzamelt kwetsbaarheden in zijn software in het bugtracking en -testsysteem Bugzilla. De beveiliging van Bugzilla blijkt echter lek, waardoor cybercriminelen maar liefst 10 jaar lang kwetsbaarheden hebben kunnen stelen uit het systeem. Mozilla heeft cybercriminelen dus indirect geholpen door de zero-day kwetsbaarheden in het systeem te vermelden.

De problemen met de beveiliging van Bugzilla zijn ontdekt door het beveiligingsbedrijf CheckPoint. Zero-day kwetsbaarheden zijn beveiligingsgaten die nog niet eerder bekend zijn gemaakt en waar dus nog geen patches voor beschikbaar zijn. Doelwitten kunnen zich dus niet tegen de aanvallen verdedigen, wat de kwetsbaarheden voor cybercriminelen extra waardevol maakt. Dit maakt de fout van Mozilla dan ook extra pijnlijk.

Het probleem zit in de accountvalidatie van Bugzilla. Medewerkers van onder andere Mozilla en Red Hat hebben een account bij Bugzilla, wat hen in staat stelt informatie uit de database te halen. De identiteit van gebruikers wordt gecontroleerd via e-mail. Deze controle blijkt echter eenvoudig te omzeilen, waardoor hackers zich kunnen voordoen als Mozilla- of Red Hat-medewerker om toegang te krijgen tot de database. Dit is dus maar liefst 10 jaar lang mogelijk geweest. Mozilla heeft het probleem verholpen en een patch uitgebracht voor Bugzilla.

Meer over
Lees ook
Kant-en-klare ransomware te koop voor slechts 100 dollar

Kant-en-klare ransomware te koop voor slechts 100 dollar

Een nieuwe vorm van ransomware is te koop op internet voor slechts 100 dollar. Het gaat om Power Locker, een alternatief voor de beruchte ransomware CryptoLocker. Power Locker, ook wel Prison Locker genoemd, is te koop op ondergrondse marktplaatsen voor cybercriminelen. Al langer is duidelijk dat cybercriminelen op internet allerlei kant-en-klare1

HP levert McAfee LiveSafe standaard op nieuwe HP-computers

HP levert McAfee LiveSafe standaard op nieuwe HP-computers

HP gaat McAfee LiveSafe service standaard wereldwijd als ‘pre-install’ meeleveren met nieuwe consumentenpc’s en zakelijke pc’s. McAfee LiveSafe is een ‘cross-device’ beveiligingsdienst die de data, identiteitsgegevens en alle pc’s, Macs, smartphones en tablets van gebruikers beschermt. “We staan aan de vooravond van een nieuw computertijdperk, wa1

Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen

Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen

Wanneer een DDoS-aanval op de organisatie plaatsvindt of cybercriminelen op een andere manier proberen de business-operatie van een bedrijf of overheidsorganisatie negatief te beïnvloeden, reageren veel IT-afdelingen door tal van security-tools in te zetten. Wie IT-beveiliging echter vooral vanuit oogpunt van business continuity bekijkt, komt al s1