Ochrana Firefoxu opäť prelomená

Mo­zil­la potvr­di­la, že nez­ná­my útoč­ník zís­kal prís­tup k jej da­ta­bá­ze na sle­do­va­nie chýb me­nom Bug­zil­la a uk­ra­dol in­for­má­cie o 53 kri­tic­kých bez­peč­nos­tných di­erach. Mi­ni­mál­ne jed­nu z nich po­tom vy­užil na útok na pou­ží­va­te­ľov Fi­re­foxu.

Bug­zil­la je open sour­ce sys­tém vy­hľa­dá­va­nia po­rúch, kto­rý vy­uží­va­jú pla­te­ní aj nep­la­te­ní de­ve­lo­pe­ri Mo­zil­ly nak za­zna­me­ná­va­nie bez­peč­nos­tných aj iných prob­lé­mov a hľa­da­nie ich rie­še­ní. Bu­gy sú väč­ši­nou ot­vo­re­né ve­rej­nos­ti, ale niek­to­ré, naj­mä dl­ho­do­bé bez­peč­nos­tné chy­by, sú prís­tup­né iba pri­vi­le­go­va­ným pou­ží­va­te­ľom.

In­for­má­cie o kri­tic­kých chy­bách sú blo­ko­va­né pre všet­kých ok­rem tých­to vy­bra­ných pou­ží­va­te­ľov eš­te dl­ho po tom, čo bý­va zve­rej­ne­ná op­ra­va da­né­ho prob­lé­mu. To pre­to, aby sa Mo­zil­la uis­ti­la, že si ak­tua­li­zá­ciu nain­šta­lu­je väč­ší po­čet pou­ží­va­te­ľov Fi­re­foxu.

Na útok, kto­rý vy­užil tie­to uk­rad­nu­té in­for­má­cie, Mo­zil­la za­rea­go­va­la zá­pla­tou zo 6. augus­ta po sprá­vach, že rus­ká spra­vo­daj­ská strán­ka bo­la zneu­ží­va­ná na prís­tup k cit­li­vým dá­tam Fi­re­foxu a ich nah­rá­va­nie na server­y na Uk­ra­ji­ne. Útoč­ník vte­dy od­cu­dzil dá­ta vzťa­hu­jú­ce sa na vý­vo­jár­ske nás­tro­je. Vte­daj­ší útok te­raz dá­va ove­ľa väč­ší zmy­sel. Útoč­ník to­tiž hľa­dal in­for­má­cie, kto­ré by mu po­moh­li lep­šie vy­užiť chy­by Bug­zil­ly a lo­ka­li­zo­vať ďal­šie chy­by za­bez­pe­če­nia, o kto­rých vý­vo­já­ri dis­ku­to­va­li.

Mo­zil­la vo svo­jom do­ku­men­te de­tail­ne od­ha­li­la ča­so­vú os ce­lé­ho úto­ku a je­ho dôs­led­ky. Pod­ľa ne­ho sa prís­tup k pri­vi­le­go­va­ným úč­tom da­tu­je naj­me­nej do sep­tem­bra 2014. Niek­to­ré in­dí­cie však naz­na­ču­jú, že útok sa mo­hol za­čať aj o rok skôr.

Útoč­ní­ci ne­do­ká­za­li vy­užiť všet­kých 53 kri­tic­kých bez­peč­nos­tných chýb. Pod­ľa Mo­zil­ly bo­lo 43 z nich op­ra­ve­ných skôr, ako ha­cker k Bug­zil­le zís­kal prís­tup. Zo zos­tá­va­jú­cich de­sia­tich však tri chy­by zos­ta­li ot­vo­re­né. Zá­pla­ta na ne ne­bo­la k dis­po­zí­cii po 131 až 335 dní.

Chy­by, kto­ré zlo­dej vy­užil, bo­li pod­ľa vy­hlá­se­nia Mo­zil­ly neop­ra­ve­né 36 dní. Vý­vo­jár open sour­ce ap­li­ká­cie už uro­bil opat­re­nia na za­bez­pe­če­nie Bug­zil­ly. Me­dzi tie­to opat­re­nia pa­tria nap­rík­lad žia­dos­ti vlas­tní­kov úč­tov s prís­tu­pom k cit­li­vým in­for­má­ciám o zme­nu hes­la ale­bo za­ve­de­nie dvoj­fak­to­ro­vej auto­ri­zá­cie.

Mo­zil­la na­bá­da pou­ží­va­te­ľov Fi­re­foxu, aby svoj pre­hlia­dač ak­tua­li­zo­va­li na ver­ziu Fi­re­fox 40, kto­rá bo­la vy­da­ná 27. augus­ta. Tá­to zá­pla­ta op­ra­vi­la všet­ky zos­tá­va­jú­ce chy­by za­bez­pe­če­nia, kto­ré útoč­ní­ci vy­uži­li.

Zdroj: Com­pu­terworld.cz


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter