Mozilla a annoncé avoir découvert un exploit spécifique à Firefox, actuellement activement utilisé par des cybercriminels pour pirater massivement les internautes ayant adopté le navigateur Web. Il s’avère que son système de suivi des bugs, Bugzilla, a été piraté et que des données sensibles ont été dérobées à cette occasion.
Après enquête interne, la fondation Mozilla estime que ces données sensibles volées ont été détournées et utilisées par les cybercriminels afin d’attaquer les usagers de Firefox en masse. Elle invite par ailleurs chacun à mettre à jour le navigateur Web afin de corriger les brèches qui pourraient être exploitées car rendues publiques…
Rappelons que Bugzilla est activement utilisé par Mozilla pour effectuer le suivi des bugs détectés dans ses logiciels, et aujourd’hui utilisé par des dizaines de projets de plus ou moins grande envergure (notons parmi eux Linux, OpenOffice, LibreOffice, Red Hat, Mandriva, Gnome, KDE, etc) pour coordonner la résolution de problèmes qui pourraient survenir au cours du développement.
Malheureusement, comme tout système informatique, Bugzilla ne semble pas être hors de danger des attaques ! En effet, une opération de piratage a ciblé la déclinaison de Bugzilla qu’utilise Mozilla pour suivre les bugs dans Firefox. À cette occasion, des données sensibles liées à la sécurité ont pu être dérobées par le ou les assaillants, comme le détaille ce document (PDF) :
“Nous pensons qu’ils ont utilisé ces informations pour attaquer des usagers de Firefox. Mozilla a procédé à une enquête sur cet accès non-autorisé et nous avons pris un certain nombre de mesures pour contrer cette menace immédiate. Nous procédons aussi à des améliorations sur Bugzilla afin d’assurer la sécurité de nos produits, de notre communauté de développeurs et de nos usagers“, écrit la fondation.
Mozilla estime que les attaquants ont ensuite exploité les vulnérabilités qui figuraient dans le navigateur avant la publication de la version 39.0.3, qui a justement servi à les corriger. Parmi les informations subtilisées figuraient des indications sur des bugs plus ou moins critiques n’étant pas encore réparés. A noter que la fondation Mozilla recommande vivement à tous les utilisateurs du navigateur de mettre à jour Firefox vers la version la plus récente (40.0.3), qui corrige toutes les brèches de sécurité exploitables actuellement.
Une procédure de sécurité drastique est en cours sur Bugzilla.
Source : Numerama
Les commentaires sont fermés.