Cảnh báo lỗ hổng Zero-Day trong Bugzilla

Một lỗ hổng zero-day đã được phát hiện trong phần mềm theo dõi lỗi Bugzilla phổ biến của Mozilla. Hàng trăm công ty phần mềm, bao gồm cả mã nguồn cá nhân và mã nguồn mở có thể bị phơi bày các thông tin nhạy cảm của các dự án phần mềm cho tin tặc.

Lỗ hổng nghiêm trọng này cho phép kẻ tấn công vượt qua phần kiểm tra email khi đăng ký một tài khoản Bugzilla mới, có nghĩa là một kẻ tấn công có thể sử dụng bất kỳ địa chỉ email nào để đăng ký tài khoản mà không cần phải truy cập vào hộp thư đến.

Hãng bảo mật Check Point Software Technologies đã công bố lỗ hổng (CVE-2014-1572) và nói rằng lần đầu tiên một lỗ hổng leo thang đặc quyền được tìm thấy trong các dự án Bugzilla từ năm 2002. Công ty Mozilla cũng đã xác nhận rằng lỗi đặc biệt này tồn tại trong tất cả các phiên bản của Bugzilla từ phiên bản 2.23.3 trở đi (2006).

Lỗi này cho phép người dùng đạt được quyền quản trị và bằng cách sử dụng các thông tin quản trị đó, tin tặc có thể xem và chỉnh sửa các chi tiết lỗi cá nhân bí mật. Hơn nữa, một hacker khai thác lỗ hổng này có thể can thiệp phá hủy thông tin lỗi để làm chậm quá trình sửa chữa lỗ hổng của phần mềm. Một nhà nghiên cứu của Check Point đã viết: “Việc khai thác thành công lỗ hổng này cho phép người dùng tạo ra bất kỳ thao tác nào, bao gồm cả tên đăng nhập. Điều này phá vỡ quá trình xác nhận e-mail và cho phép kẻ tấn công tạo tài khoản phù hợp với chính sách, trở thành một người sử dụng hợp lệ”.

Sau khi nhận thức được lỗ hổng, Bugzilla đã nhanh chóng phát hành một bản vá lỗi.

Theo THN