Mozilla的Bugzilla被黑,泄露了火狐浏览器的0 day漏洞

目前,唯一一个值得我们高兴的消息就是Mozilla公司已经将火狐浏览器中的这些问题修复了。

Bugzilla 是一个开源的漏洞跟踪系统,它可以用来帮助你管理软件开发,建立完善的漏洞跟踪体系。除此之外,还可以帮助你管理软件开发中漏洞的提交和修复等整个生命周期。

Mozilla公司在今天承认,该公司Bugzilla漏洞跟踪系统的数据被一名黑客泄漏了出来,而且这名攻击者还获得了大量还未被修复的0 day漏洞的详细信息。

Mozilla公司并没有提供此次数据泄漏事件发生的详细时间,此次事件有可能可以追溯到2013年的9月份。根据Mozilla公司的描述,攻击者入侵了一个拥有Bugzilla系统访问权限的用户账号,这个漏洞追踪系统中包含有未被公布出来的0 day漏洞信息。

根据Mozilla公司目前已经确认了的数据,这名攻击者得到了大约185个未被公布出来的0 day漏洞的详细信息。Mozilla公司认为,在这些泄漏出来的漏洞中,有53个漏洞是高危漏洞。但是Mozilla公司声称,在那名攻击者得到了这些漏洞信息的时候,公司已经将火狐浏览器中的43个高危漏洞成功修复了。

这也就意味着,还有十个高危漏洞没有被修复,攻击者仍然可以利用这十个高危漏洞,所以使用火狐浏览器的用户们仍然有可能受到攻击。

Mozilla公司在此次数据泄漏事件的FAQ(常见问题解答)环节中表示:“在这些被泄漏出来的漏洞中,有一个漏洞曾被攻击者利用过。而公司已经在2015年8月6日将这个漏洞成功修复了。然而,除了上面提到的这个漏洞之外,我们目前还没有发现任何这些漏洞被利用的迹象。”

如果用户使用火狐浏览器去访问了一个俄罗斯的网站,那么这个被广泛利用的漏洞就允许攻击者去收集这名火狐浏览器用户的个人数据。

在此次Mozilla Bugzilla数据泄漏事件中最有趣的地方就是此次事件到底是如何发生的。攻击者得到了最新火狐浏览器0 day漏洞的详细信息,但是攻击者在访问Bugzilla系统的时候却不需要使用到任何的0 day漏洞。

Mozilla公司在FAQ中声明到:“经过我们的调查和分析之后,我们发现,有的用户会在其他的网站中使用与Bugzilla密码相同的密码,当这些其他的网站发生了数据泄漏之后,这些密码也就泄漏了出来。”

这也就意味着,一位有特殊权限的Bugzilla用户在很多其他的网站上都使用的是相同的密码,这种做法会严重地影响系统的安全性能,而且这也不是一名拥有安全访问权限的用户所应该做的事情。在所有的地方都使用同样的密码仍然是一个非常严重且常见的安全问题,所以Facebook和谷歌为了保护公司用户的数据安全,他们会定期地检测所有的密码数据。

在一篇文章中,火狐浏览器的安全负责人Richard Barnes就Mozilla公司目前如何提升Bugzilla安全性的问题进行了详细地描述。

Barnes写到:“目前,为了降低用户遭遇此类攻击的风险,我们正在升级Bugzilla漏洞跟踪系统的安全实践。我们所要做的第一件事情就是,那些所有可以访问系统安全-敏感信息的用户都必须立刻修改他们的密码,并且使用双重身份验证机制。“

令人惊讶的地方在于,Mozilla公司在过去并没有在访问敏感信息的时候强制要求用户进行双重身份验证。如果没有双重身份验证机制的话,攻击者仅仅需要得到一个用户凭证,就可以访问Bugzilla漏洞跟踪系统了。

在这篇文章中,好消息就是Mozilla公司已经将与此次数据泄漏有关的漏洞全部修复了,所以就目前的情况来说,火狐浏览器的用户并不会受到这些漏洞的影响。除此之外,当然还有令人欣慰的事情了。在此次数据泄漏事件发生之后,Mozilla公司将会比以往的任何时候都要更加地重视该公司自己产品的安全性能了。