Firefox développement repose largement sur Bugzilla, une application de suivi des bogues que les développeurs de Mozilla utilisent pour l'évolution des caractéristiques et des changements dans le navigateur web Firefox.
La plupart des listes de bogue sont accessibles par le public, l’enregistrement d’un compte n’est pas nécessaire pour l'accès. Seules les informations de sécurité sensibles ne sont pas accessibles que par des utilisateurs privilégiés car des criminels pourraient les utiliser pour créer des exploits et de cibler les utilisateurs de Firefox avant les correctifs.
Mozilla a révélé aujourd'hui que l'attaquant a réussi à voler des informations de sécurité sensible de Bugzilla et a utilisé l'information pour attaquer les utilisateurs du navigateur Firefox.
L'attaquant a réussi à prendre plus d'un compte privilégié pour accéder à l'information de sécurité sensible sur Bugzilla. Mozilla estime que l'attaquant a utilisé l'information pour exploiter une vulnérabilité dans Firefox (qui a été patché par Mozilla dans l'intervalle).
L'attaquant a réussi à accéder à 186 bogues non publiques sur Bugzilla dont 53 vulnérabilités critiques et 22 problèmes de sécurité mineurs.
Toutes les vulnérabilités ont été patché le 27 Août avec la sortie de Firefox 40.0.3.
COMMENTS