Mozilla坦承,該基金會所使用的臭蟲追蹤與測試工具Bugzilla遭到駭客入侵,駭客總計存取了未被公開的185個臭蟲,其中有53個臭蟲屬於重大的安全漏洞,而且駭客已透過其中的1個漏洞來攻擊Firefox用戶,蒐集Firefox用戶的個人資訊。

Bugzilla為一開放源碼的臭蟲追蹤與測試工具,許多組織用它來蒐集與管理臭蟲。除了Mozilla基金會之外, WebKit、Linux kernel及 FreeBSD等軟體專案,紅帽(Red Hat)與Apache軟體基金會也都是Bugzilla的用戶。

Mozilla說明,在Bugzilla中的大多數資訊都是公開的,而與安全相關的資訊則僅限於特定權限的使用者存取。但有一名具權限的使用者在另一個被駭網站使用了與Bugzilla一樣的密碼,駭客取得其密碼存取了Bugzilla上的機密安全資訊。已確認的時間點為2014年9月,也有跡象顯示駭客可能在2013年9月就已入侵Bugzilla。

根據Mozilla的統計,駭客總計竊取了185個未公開的資訊,其中有110個因特殊原因受到保護而無關軟體安全,另有22個屬於輕微的安全問題,另有53個為重大的安全漏洞。在這53個重大漏洞中,有43個在駭客發現之前便已修補,剩下的10個則存在著長短不一的修補空窗期,其中有一漏洞自從被駭客存取至完成修補的空窗期長達335天。

目前已知駭客針對其中一個漏洞進行攻擊,可誘導使用者造訪一個位於俄國的新聞網站,並藉以蒐集使用者的個人資訊。而Mozilla已於今年的8月6日修補了該漏洞。

Mozilla安全團隊負責人Richard Barnes表示,在發現某一Bugzilla帳號遭到盜用後,Mozilla旋即關閉該帳號並展開調查,同時採取了多項補救措施以強化Bugzilla的安全性,包括重設所有具權限用戶的密碼、限制Bugzilla用戶所能存取的資訊量,以及加強對Bugzilla用戶的行為監管。

目前Mozilla尚未發現其他漏洞遭到駭客利用,並建議Firefox用戶採用最新的版本,同時已於8月27日釋出新版的Firefox for Desktop、Firefox for Android與Firefox延伸支援版(Firefox ESR),全面修補駭客已得知且可用來危害Firefox用戶的安全漏洞。(編譯/陳曉莉)

其他參考資料:這次事件的FAQ(PDF)


Advertisement

更多 iThome相關內容