Добрые новости в этой нехорошей ситуации – то, что Firefox уже исправлен для всех неприятностей.Mozilla признал сейчас, что его совокупность отслеживания неточностей Bugzilla была нарушена атакующим, что тогда смог получить доступ к информации о неисправленных неточностях нулевого дня.Тогда как Mozilla не имеет конечных временных шкал на том, когда нарушение случилось, это еще, быть может, случилось сентябрь 2013.
Согласно Mozilla, атакующий смог нарушить учетную запись пользователя, которая дала доступу полномочия к Bugzilla, включая непубличную данные о недостатке нулевого дня.Как Mozilla был в состоянии выяснить сейчас, атакующий получил доступ примерно к 185 неточностям, которые были непубличными.
Из тех неточностей Mozilla полагал 53 быть важными уязвимостями. Но Mozilla говорит, что 43 из важных недостатков были уже исправлены в браузере Firefox к тому времени, когда атакующий получил доступ к информации об неточности.
Это оставляет 10 неточностей, что у атакующего был доступ к тому, перед тем как они были исправлены, и это – то, где потенциальный риск для пользователей Firefox находится.«Одна из неточностей [открылась], меньше чем 36 дней употреблялся для нападения посредством уязвимости, которая была исправлена 6 августа 2015», заявил Mozilla в FAQ на нарушении. «Помимо этого нападения, но, у нас нет данных, показывающих, что другие неточности были использованы».Одна неточность, которая была использована в природе, употреблялась для сбора частных данных от пользователей Firefox, которые посетили российский новостной сайт.То, что особенно весьма интересно о нарушении Mozilla Bugzilla, – то, как оно случилось во-первых.
Тогда как атакующий смог определить о новых недостатках нулевого дня Firefox, никакой недостаток нулевого дня не требовался атакующим получить доступ к Bugzilla.«Информация, раскрытая в отечественном расследовании, предполагает, что пользователь опять применял их пароль Bugzilla с другим веб-сайтом, и пароль был продемонстрирован при помощи утечки данных на том сайте», заявил FAQ Mozilla.Это указывает, что привилегированный пользователь Bugzilla применял тот же пароль на многократных сайтах, что в большинстве случаев считается нетактичностью безопасности и не есть чем-то, что кто-то, кто был предоставлен надёжный доступ, должен был сделать.
Повторное применение пароля в целом, не смотря на то, что громадная неприятность, которая есть, по какой причине Facebook и Гугл оба в большинстве случаев наблюдают на дампы пароля в попытке обезопасисть их пользователей от нарушений.В сообщении в блоге ведет безопасность Firefox, Ричард Барнс детализировал то, что Mozilla сейчас делает для улучшения безопасности Bugzilla.«Мы обновляем способы безопасности Bugzilla для понижения риска будущих нападений этого типа», записал Барнс. «Как яркий первый шаг, все пользователи с доступом к уязвимой информации безопасности были обязаны изменять собственные пароли и применять двухфакторную аутентификацию».Пару страно, что Mozilla не приводил в выполнение двухфакторную аутентификацию для собственной уязвимой информации в прошлом.
Без двухфакторной аутентификации всему атакующему было необходимо, был один набор учетных данных чтобы получить доступ.Добрые новости в этой истории – то, что нет никакой текущей угрозы пользователям Firefox, потому, что Mozilla исправил все неприятности, к каким у атакующего, быть может, был ранний доступ. Это также заверяет, что поэтому инцидентом, Mozilla сейчас отнесется к собственной безопасности больше без шуток чем когда-либо прежде.
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.