Dosud neznámá bezpečnostní chyba v Bugzille, odhalená Malware and Vulnerability Research Group společnosti Check Point, umožnila komukoliv zobrazit podrobné zprávy o neopravených zranitelnostech v širokém množství programů. Bugzilla patří mezi populární bug-tracking systémy, které jsou využívány komerčními i open source softwarovými produkty, jako například Apache, Mozilla nebo Red Hat. (TZ)
„Přístup k jednotlivým zranitelnostem u softwarových produktů, které používají Bugzillu k trakování svých chyb, poskytuje útočníkům další způsob pro úspěšné zneužívaní zranitelností a kompromitace cílových systémů. Jak ukazují incidenty z poslední doby (Heartbleed nebo Shellshock/Bash), i v populárních a masově rozšířených systémech se mohou vyskytovat chyby, o kterých se neví řadu let. O to je pak jejich odhalení závažnější, neboť se dotýká obrovského množství systémů a uživatelů. Je zjevné, že se takovéto slabiny mohou vyskytovat i u systémů a aplikací, které doposud žádné bezpečnostní problémy neměly. Základem pro ochranu před útoky, způsobenými podobnými bezpečnostními chybami, je vhodná segmentace IT systémů, vícevrstvá ochrana, ale třeba i využívání systému na emulaci hrozeb – ThreatCloud Emulation,“ říká Peter Kovalčík, Security Engineer ze společnosti Check Point Software Technologies.
Výzkumný tým společnosti Check Point spolupracovat s Mozillou na vydání záplaty na tuto zranitelnost. Patch byl uvolněn ještě během včerejšího dne.
Více informací najdete v následujícím článku: http://krebsonsecurity.com/2014/10/bugzilla-zero-day-exposes-zero-day-bugs/