Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Kho lưu trữ thông tin lỗ hổng của Mozilla bị lộ dữ liệu
Hãng Mozilla vừa công bố về việc kho lưu trữ thông tin lỗ hổng của hãng - Bugzilla bị xâm nhập và rò rỉ dữ liệu về các lỗ hổng nghiêm trọng. Ít nhất một trong số các lỗ hổng này đã bị tin tặc khai thác để tấn công người dùng Firefox trong năm nay.
Chuyên gia của Mozilla - Richard Barnes cho biết tin tặc đã xâm nhập vào tài khoản có đặc quyền trên Bugzilla và tải về các thông tin nhạy cảm liên quan tới an ninh và lỗ hổng trên trình duyệt web Firefox và các sản phẩm khác. Các thông tin này được Mozilla lưu trữ trên Bugzilla cho đến khi các lỗ hổng được vá. Việc xâm nhập để lộ thông tin của toàn bộ 185 lỗ hổng chưa được Mozilla công bố. 53 trong số những lỗ hổng này được đánh giá ở mức nguy hiểm và rất nguy hiểm. Khoảng 10 lỗ hổng chưa được vá trong phiên bản hiện hành tại thời điểm diễn ra vụ xâm nhập. Một lỗ hổng cho phép tin tặc lấy cắp các tập tin từ người dùng Firefox được cho là đã bị tin tặc khai thác trên thực tế. Lỗ hổng này đã được vá vào tháng 8/2015.
Barnes cho biết, tin tặc đã xâm nhập tương đối dễ dàng vào hệ thống Bugzilla bằng cách lấy cắp mật khẩu của một tài khoản người dùng có đặc quyền. Người dùng này sử dụng chung mật khẩu đăng nhập một trang đã từng bị xâm nhập với mật khẩu đăng nhập vào Bugzilla.
Tin tặc đã truy cập vào dữ liệu Bugzilla ít nhất từ tháng 9 năm ngoái. Tuy nhiên, cũng có thể vụ xâm nhập đã diễn ra một năm trước đó.
Đội ngũ an ninh của Mozilla cho biết, về kỹ thuật, bất kỳ lỗ hổng nào trong số 10 lỗ hổng chưa được vá có thể đã bị khai thác để tấn công người dùng Firefox.
3 lỗ hổng chưa được vá trong khoảng 131, 157 và 335 ngày. Toàn bộ các lỗ hổng có thể khai thác bị rò rỉ trong vụ việc đã được vá trong phiên bản cập nhật Firefox đưa ra vào ngày 28/8.
Những người dùng có quyền truy cập vào thông tin nhạy cảm trên Bugzilla được yêu cầu đổi mật khẩu ngay lập tức và sử dụng xác thực 2 bước khi đăng nhập. Mozilla cũng cắt giảm số lượng người dùng có đặc quyền truy cập và giảm các đặc quyền của họ trên Bugzilla.
Phương pháp tăng cường an ninh này khiến việc xâm nhập khó khăn hơn và cũng hạn chế lượng thông tin mà tin tặc có thể tiếp cận nếu xâm nhập thành công.
Chuyên gia của Mozilla - Richard Barnes cho biết tin tặc đã xâm nhập vào tài khoản có đặc quyền trên Bugzilla và tải về các thông tin nhạy cảm liên quan tới an ninh và lỗ hổng trên trình duyệt web Firefox và các sản phẩm khác. Các thông tin này được Mozilla lưu trữ trên Bugzilla cho đến khi các lỗ hổng được vá. Việc xâm nhập để lộ thông tin của toàn bộ 185 lỗ hổng chưa được Mozilla công bố. 53 trong số những lỗ hổng này được đánh giá ở mức nguy hiểm và rất nguy hiểm. Khoảng 10 lỗ hổng chưa được vá trong phiên bản hiện hành tại thời điểm diễn ra vụ xâm nhập. Một lỗ hổng cho phép tin tặc lấy cắp các tập tin từ người dùng Firefox được cho là đã bị tin tặc khai thác trên thực tế. Lỗ hổng này đã được vá vào tháng 8/2015.
Barnes cho biết, tin tặc đã xâm nhập tương đối dễ dàng vào hệ thống Bugzilla bằng cách lấy cắp mật khẩu của một tài khoản người dùng có đặc quyền. Người dùng này sử dụng chung mật khẩu đăng nhập một trang đã từng bị xâm nhập với mật khẩu đăng nhập vào Bugzilla.
Tin tặc đã truy cập vào dữ liệu Bugzilla ít nhất từ tháng 9 năm ngoái. Tuy nhiên, cũng có thể vụ xâm nhập đã diễn ra một năm trước đó.
Đội ngũ an ninh của Mozilla cho biết, về kỹ thuật, bất kỳ lỗ hổng nào trong số 10 lỗ hổng chưa được vá có thể đã bị khai thác để tấn công người dùng Firefox.
3 lỗ hổng chưa được vá trong khoảng 131, 157 và 335 ngày. Toàn bộ các lỗ hổng có thể khai thác bị rò rỉ trong vụ việc đã được vá trong phiên bản cập nhật Firefox đưa ra vào ngày 28/8.
Những người dùng có quyền truy cập vào thông tin nhạy cảm trên Bugzilla được yêu cầu đổi mật khẩu ngay lập tức và sử dụng xác thực 2 bước khi đăng nhập. Mozilla cũng cắt giảm số lượng người dùng có đặc quyền truy cập và giảm các đặc quyền của họ trên Bugzilla.
Phương pháp tăng cường an ninh này khiến việc xâm nhập khó khăn hơn và cũng hạn chế lượng thông tin mà tin tặc có thể tiếp cận nếu xâm nhập thành công.
Nguồn: ITNews