دسترسی دو ساله یک نفوذگر به آسیب پذیری های Firefox

دسترسی یک نفوذگر به اطلاعات امنیتی حساس در خصوص مرورگر Firefox، امنیت صدها میلیون کاربر را برای مدت نزدیک به دو سال تهدید می کرده است.

به گزارش شرکت مهندسی شبکه گستر، این نفوذگر با در اختیار گرفتن یک حساب کاربری Bugzilla به جاسوسی اطلاعات فوق حساس می پرداخته. Bugzilla یکی از سامانه های شرکت Mozilla است که از آن برای ردیابی باگ های Firefox، مرورگر ساخت این شرکت، استفاده می شود.

به گفته Mozilla، این نفوذگر از طریق حساب کاربری هک شده، به 185 باگ غیرعمومی دسترسی داشته است. از این میان، درجه اهمیت 53 باگ حساس بوده که 10 عدد از آنها در زمان دسترسی نفوذگر ترمیم نشده بودند.

این بدان معناست که نفوذگر با آگاهی از وجود ضعف های امنیتی ترمیم نشده می توانسته از آنها برای اجرای موفقیت آمیز حملات سواستفاده کند. Mozilla اعلام کرده که بغیر از یک مورد، هیچ نشانه ای از سواستفاده از سایر باگ ها مشاهده نکرده است.

به گفته Mozilla، این نشت اطلاعات در نتیجه استفاده صاحب حساب کاربری هک شده از گذرواژه ای یکسان در سایتی دیگر بوده که پس از نفوذ به آن سایت این گذرواژه به دست نفوذگر افتاده است.

در زمان درز فهرست گذرواژه ها، نفوذگران می کوشند از آنها برای دسترسی به سایت های دیگر استفاده کنند. به همین خاطر است که همواره توصیه می شود از هر گذرواژه تنها برای یک منظور استفاده شود.

Mozilla اعلام کرده که در پی وقوع این اتفاق، گذرواژه همه کاربران با حق دسترسی بالا تغییر داده شده و منبعد برای این دسته از کاربران از اصالت سنجی دو مرحله استفاده خواهد شد. همچنین این شرکت گفته که دسترسی کاربران Bugzilla تا حد امکان محدود شده تا اثرات ناشی از هک شدن یک حساب کاربری به حداقل برسد.