A causa di un banale quanto tremendo errore di un utente con accessi privilegiati alla piattaforma Bugzilla, utilizzata per la gestione dei bug e lo sviluppo dei software Mozilla, è stato possibile per un aggressore esterno entrare nel portale e avere accesso a bug relativi a falle di sicurezza (notizia originale dal blog Mozilla). Di norma questi bug non sono accessibili ai normali utenti o agli sviluppatori, sono visibili solo a chi effettua la segnalazione e a un numero molto ristretto di utenti.

Bugzilla restricts access to security­sensitive information so that only certain privileged users can access it. An attacker was able to break into a privileged user’s account and download security­sensitive information about flaws in Firefox and other Mozilla products.

Informazioni dettagliate riguardo l’accaduto sono disponibili in un file PDF rilasciato da Mozilla di cui è disponibile una copia sul nostro sito. Diretta conseguenza dell’incidente è che la sicurezza delle procedure di autenticazione per gli utenti con accesso a questo tipo di bug è stata rafforzata, introducendo ad esempio l’autenticazione a due fattori.

The account that the attacker broke into was shut down shortly after Mozilla discovered that it had been compromised. We believe that the attacker used information from Bugzilla to exploit the vulnerability we patched on August 6.

L’utente in questione avrebbe sfruttato i dettagli presenti nel bug per questa falla – da notare che sono trascorse solo 48 ore dalla segnalazione alla disponibilità pubblica della versione con la correzione – per attaccare versioni non aggiornate del browser.

Per un ulteriore approfondimento vi rimandiamo all’articolo di Ars Technica (in inglese).

Noi, come sempre, vi invitiamo a tenere sempre aggiornati i vostri software, senza eccezione alcuna per quelli Mozilla che – come tutti – possono essere soggetti a errori umani, sia di sviluppo, sia di distrazione come insegna l’accaduto.

Qui trovate la pagina con il download dei prodotti aggiornati all’ultima versione.