Pular para o conteúdo principal
Marcadores

Bug zero day pode provocar um terremoto na internet






Bugzilla Zero-Day poderia desencadear um outro terremoto Internet



A-dia zero no Bugzilla ferramenta bug-tracking permite a qualquer utilizador visualizar relatórios detalhados sobre as vulnerabilidades não corrigidas em uma ampla gama de repositórios de vulnerabilidade.

Uma nova vulnerabilidade no Bugzilla está assustando a indústria de segurança, que afeta software bug-tracking da Mozilla, e poderia ter um sério impacto. A vulnerabilidade no Bugzilla pode ser explorada por atacantes para exibir informações detalhadas sobre vulnerabilidades não corrigidas em uma ampla gama de aplicações.
Bugzilla anunciou que uma correção para essa fraqueza severa será lançado o mais breve possível, os especialistas acreditam que a organização vai liberar hoje.
As bases de dados de vulnerabilidades são uma mina de informações para os atacantes que pretendem explorar falhas não corrigidas em aplicações específicas, estas informações poderiam ser utilizadas por hackers para ataques ou vendidos no mercado clandestino de outros atores de ameaça.
O erro reside no Bugzilla processos de criação de conta, que permite que atacantes para criar uma conta no Bugzilla, que ignora a validação e permite a escalação de privilégios. O invasor pode explorar a falha para criar uma nova conta, ainda, com um perfil de administrador, que pertencem ao domínio de destino.
No site Bugzilla estão listados cerca de 150 instalações pertencentes a organização disponível na Internet e muito mais a implantação privada. A lista inclui organizações populares, como o Apache, GNOME, Mozilla, Novell, Project, OpenOffice, Red Hat, Sandia National Laboratories, o scanner Nessus Segurança, Fundação Wikimedia e Wireshark.
amostra bugzilla
Um pesquisador da  Check Point Software Technologies, Shahar Tal , informou a vulnerabilidadepara  a equipe Mozilla explicando que ele era capaz de registrar como admin@mozilla.org o relatório de acesso sobre bugs privados geridos pela Mozilla. 
"Por exemplo, nós registramos como admin@mozilla.org e, de repente pudemos ver cada bug privada no Firefox e tudo mais sob Mozilla." "Nós fomos capazes de injetar uma string controlado pelo invasor em qualquer campo do banco de dados pós-validação, incluindo o 'login_name' ", disse Tal. "Eu não quero entrar em mais detalhes do que neste momento." Ele não quis divulgar detalhes sobre a façanha.
Tal explica que a vulnerabilidade foi descoberta durante uma avaliação de vulnerabilidade e ele antecipou que mais resultados desconcertantes será revelado na próxima Chaos Computer Club (CCC), em Hamburgo.
"Esta vulnerabilidade foi descoberta durante umainvestigação que estão actualmente em execução dealgumas questões Perl ", disse ele. "Nós temos alguns resultados muito interessantes chegando em que a pesquisa (Bugzilla é um bom exemplo, mas não a última), o que pretendemos apresentar na próxima CCC em Hamburgo no final deste ano."
O especialista em segurança Brian Krebs revelou que Sid Stamm, um engenheiro de segurança e privacidade com a Mozilla confirmou que a vulnerabilidade afeta aplicação Bugzilla, disse Stamm Mozilla não tem conhecimento de quaisquer violações causadas pela exploração de que esta falha.
Fique ligado para mais informações.

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas