Alfonso Maruccia

Mozilla: c'era un buco in Bugzilla

La fondazione ammette di aver subito un accesso indiscriminato e potenzialmente malevolo alle informazioni segrete sui bug di Firefox, accesso che č poi servito almeno in caso, ad agosto. Ora č tutto risolto

Roma - Allarme sicurezza su Bugzilla, la piattaforma aperta su cui Mozilla tiene traccia dei bug di Firefox e degli altri progetti software gestiti dalla fondazione: ignoti malintenzionati avrebbero avuto accesso a informazioni riservate per un anno, mettendo a rischio gli utenti del browser del Panda Rosso in almeno un caso.

Stando a quanto comunica la FAQ messa online da Mozilla, l'ignoto cyber-criminale ha sfruttato un account con accesso privilegiato al database di Bugzilla, un account che ha in sostanza potuto leggere informazioni "segrete" su bug e vulnerabilità di sicurezza che i programmatori erano impegnati a chiudere prima di renderne pubblica l'esistenza.

L'accesso non autorizzato, prevedibilmente frutto di una password debole o di un attacco (riuscito) di ingegneria sociale, è apparentemente cominciato dal settembre del 2013 ed è continuato almeno fino a settembre 2014, quando l'account compromesso è stato abbattuto e sono cominciate le indagini da parte del team di sicurezza di Mozilla.
Centinaia (anzi 185) i bug "segreti" visionati dai presunti criminali, 53 dei quali classificati come gravi: di questi ultimi, 10 risultavano ancora non corretti durante l'accesso non autorizzato. Č noto almeno un caso, dice ancora Mozilla, di un bug sfruttato per condurre un attacco informatico "in the wild" che è stato poi debellato con la distribuzione della versione 39.0.3 di Firefox.

Non è la prima volta che Bugzilla si trova al centro dell'attenzione per le insicurezze della piattaforma, e nel tentativo di rafforzare le difese contro gli accessi non autorizzati Mozilla ha implementato nuove policy, incluso l'obbligo di adoperare un meccanismo a doppio fattore per l'autenticazione sui server.

Alfonso Maruccia
Notizie collegate
18 Commenti alla Notizia Mozilla: c'era un buco in Bugzilla
Ordina
  • Ma Mozilla non sera sicuro? Idea!

    Ma non s'era detto che loro i bug li sistemavano, non come qualcun altro? Cylon

    Ma non s'era detto che Firefox era un browser coi fiocchi? A bocca storta

    Eppure io queste cose le avevo lette proprio qui! Angioletto

    Non mi verrete mica a dire che non erano cose vere? Geek

    E come mai 'ste zozzerie? Arrabbiato
    non+autenticato
  • - Scritto da: Egoiste egoiste egoiste egoiste
    > Ma Mozilla non sera sicuro? Idea!
    >
    > Ma non s'era detto che loro i bug li sistemavano,
    > non come qualcun altro?
    > Cylon
    >
    > Ma non s'era detto che Firefox era un browser coi
    > fiocchi?
    >A bocca storta
    >
    > Eppure io queste cose le avevo lette proprio qui!
    >
    >Angioletto
    >
    > Non mi verrete mica a dire che non erano cose
    > vere?
    > Geek
    >
    > E come mai 'ste zozzerie? Arrabbiato

    Se volete trollare leggetevi non dico l'articolo (non sia mai), ma almeno il sottotitolo. Almeno.
  • - Scritto da: Elrond
    > Se volete trollare leggetevi non dico l'articolo
    > (non sia mai), ma almeno il sottotitolo. Almeno.

    Non ci sono più i troll di una volta... dove andremo a finire!!
  • - Scritto da: bradipao
    > - Scritto da: Elrond
    > > Se volete trollare leggetevi non dico l'articolo
    > > (non sia mai), ma almeno il sottotitolo. Almeno.
    >
    > Non ci sono più i troll di una volta... dove
    > andremo a
    > finire!!

    Lui sarà un troll, ma qui è pieno di struzzi che fanno finta di non capire, qual è la cosa grave in tuta questa storia.
    non+autenticato
  • - Scritto da: hhhh
    > - Scritto da: bradipao

    > > Non ci sono più i troll di una volta... dove
    > > andremo a finire!!

    > Lui sarà un troll, ma qui è pieno di struzzi che
    > fanno finta di non capire, qual è la cosa grave
    > in tuta questa storia.

    Qua non si parla per niente di quel bug, si trolla e basta.
    non+autenticato
  • Niente javascript, niente java, niente cookies, niente cronologia, niente plugins, filtraggio radicale dei domini rompi°° tramite proxy locale, fingerptint taroccato, rete decentralizzata, no windoze, no papple, no androcesso... il più pulito ha la rogna.
    non+autenticato
  • "10 risultavano ancora non corretti durante l'accesso non autorizzato"
    Fin qui, ok, non si può fare tutto in fretta e furia.

    Peccato che uno di quelli considerati più critici sia in ballo da quasi UN ANNO e nessuno abbia fatto nulla.
    non+autenticato
  • E ricordiamo che quando c'era di mezzo Microsoft c'era gente che diceva che:

    "Il buon senso prevede che lo risolvi entro 90 ore.
    Altrimenti ammetti la tua incapacita' davanti al mondo e cambi mestiere.

    90 giorni sono un'era geologica in informatica! Un arco temporale talmente enorme da non potersi neppure concepire."


    http://punto-informatico.it/b.aspx?i=4212280&m=421...

    Ma questo è software opensurs e quindi fa nienteA bocca aperta
    non+autenticato
  • - Scritto da: hhhh

    > Peccato che uno di quelli considerati più critici
    > sia in ballo da quasi UN ANNO e nessuno abbia
    > fatto
    > nulla.

    sì, ma è open, potevi correggerlo tu!
    Ah no, era tenuto segreto (pure male), non potevi correggerlo.
    A pensare male l'hanno venduto all'NSA e l'han tenuto lì apposta...
    non+autenticato
  • Si parla di uno sviluppatore che aveva lasciato in giro le sue credenziali di accesso a Bugzilla; purtroppo, il "fattore umano" è il punto debole di qualunque sistema di sicurezza e non si può certo dare la colpa ad un browser come Mozilla che attualmente è uno dei più sicuri in circolazione.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Si parla di uno sviluppatore che aveva lasciato
    > in giro le sue credenziali di accesso a Bugzilla

    no, non è quello il problema.
    Il problema è il bug contenuto nell'elenco dei 10 non patchato, giudicato critico da mozilla stessa, ma non patchato dopo quasi un anno.
    non+autenticato
  • - Scritto da: hhhh
    >
    > no, non è quello il problema.
    > Il problema è il bug contenuto nell'elenco dei 10
    > non patchato, giudicato critico da mozilla
    > stessa, ma non patchato dopo quasi un anno.

    E come mai nessuno ne ha approfittato?

    "... ignoti malintenzionati avrebbero avuto accesso a informazioni riservate per un anno, mettendo a rischio gli utenti del browser del Panda Rosso in almeno un caso ..."

    In almeno un caso?
    Caspita! Proprio un attacco in grande stile.

    Tra l'altro, furbescamente si cerca di identificare Bugzilla con Firefox; in realtà, Firefox è solo uno delle centinaia di software i cui bug sono gestiti tramite Bugzilla.
    non+autenticato
  • - Scritto da: Alvaro Vitali


    > > Il problema è il bug contenuto nell'elenco
    > dei
    > 10
    > > non patchato, giudicato critico da mozilla
    > > stessa, ma non patchato dopo quasi un anno.
    >
    > E come mai nessuno ne ha approfittato?

    hai visitato tutti i siti internet del pianeta per dire che nessuno ne ha approfittato?
    Il dato di fatto è che ci sono dei 10 bug critici noti a malviventi, non ancora patchati.

    > In almeno un caso?
    > Caspita! Proprio un attacco in grande stile.

    bravo. minimizza l'incompetenza di chi tiene un bug che considera critico aperto per un anno.
    Anzi, perché non vai a complimentarti?

    > Tra l'altro, furbescamente si cerca di
    > identificare Bugzilla con Firefox; in realtà,
    > Firefox è solo uno delle centinaia di software i
    > cui bug sono gestiti tramite
    > Bugzilla.

    ancora non hai capito quello che ho scritto.
    1) il fatto che ci siano dei bug è normale
    2) il fatto che quelli critici siano tenuti segreti per un po', in modo da dare tempo di correggere, è normale
    3) il fatto che si possa bucare il repository dei bug, non sarà normalissimo ma può capitare
    4) il fatto che un bug critico di firefox (non del repository) non sia stato patchato dopo un anno è inaccettabile

    E' chiaro o devo scrivere le stesse cose ancora mille volte prima che ti entrino nella zucca?
    non+autenticato
  • >>4) il fatto che un bug critico di firefox (non del repository) non sia
    >>stato patchato dopo un anno è inaccettabile

    Questo non è detto può capitare che i bug non sono patchabili facilmente e quindi vengono mitigati, utilizzando varie tecniche, che servono appunto a renderne lo sfruttamento difficile o a volte anche impossibile, il che non rende il bug fixato ma solo più sicuro.
    Bisogna inoltre tenere bene in mente che firefox è il browser più avanzato tra tutti, è un vero e proprio framework di sviluppo che espone api di alto e basso livello rendendo la superficie di attacco nettamente più importante rispetto agli altri browser, ma chi usa firefox non lo fa per navigare su sitini ma perchè vuole avere il controllo.
    Detto questo di che bug parliamo? non mi pare ci siano bug vecchi di 10 anni.
    non+autenticato
  • - Scritto da: CrazyCo

    > >>stato patchato dopo un anno è inaccettabile
    >
    > Questo non è detto

    vorrei vederti scrivere la stessa cosa quando capiterà a qualche azienda closed.
    comunque sia, tutte scuse e supposizioni.
    Il dato di fatto è lì e un anno è inaccettabile in tutti i casi.
    non+autenticato
  • - Scritto da: hhhh
    > - Scritto da: CrazyCo
    >
    > > >>stato patchato dopo un anno è
    > inaccettabile
    >
    > >
    > > Questo non è detto
    >
    > vorrei vederti scrivere la stessa cosa quando
    > capiterà a qualche azienda
    > closed.
    > comunque sia, tutte scuse e supposizioni.
    > Il dato di fatto è lì e un anno è inaccettabile
    > in tutti i
    > casi.
    questo formidabile bug unpatched da 335 gg, cmq, COSA/COME permette di exploitare?Con la lingua fuori
    non+autenticato
  • è lo stesso anche per un azienda closed, la differenza è che su un prodotto a pagamento avendo pagato puoi incazzarti di più e pretendereA bocca aperta
    non+autenticato