Mozilla漏洞数据库被黑 被盗数据攻击Firefox浏览器

开源火狐（Firefox）浏览器的厂商Mozilla本周五表示，攻击者从Mozilla的Bugzilla漏洞追踪系统中窃取了安全敏感信息并且可能以此攻击浏览器用户。

Mozilla在一份问答文件中指出，被盗取的信息似乎源于一个权限用户被攻陷的账户。这名用户似乎在其它被攻陷的站点与Bugzilla账户上使 用了相同的密码。攻击者随后声称访问了敏感的Bugzilla账户而且能够“下载Firefox以及其他Mozilla产品中漏洞的安全敏感信息”。

Mozilla指出攻击者访问了185个非公开Firefox漏洞，其中53个涉及“严重的漏洞”。当时有10个漏洞尚未修复，不过其余漏洞已在最 近的一次更新中已被修复。在这10个未修复的漏洞中，公司认为攻击者使用其中之一利用Firefox漏洞。Mozilla曾在八月初撰文警告用户“一家俄 罗斯新闻网站上的一则广告以Firefox利用的身份搜索敏感文件并将它们上传至位于乌克兰的服务器上。”该漏洞于8月6日修复。

Mozilla表示还未有证据表明访问了该名用户账户的攻击者利用了其它漏洞。

公司还表示已经“修复了攻击者所知道的所有漏洞”，并且在8月27日发布了Firefox新版本。此外，公司早在2014年9月就证实了对 Bugzilla未经授权的实例。Mozilla并未透露是何时发现的，不过表示当发现攻击时就关闭了受攻陷的账户并且联系了第三方安全企业完成实证分 析。“我们正在更新Bugzilla的安全实践以减少未来此类攻击的风险。作为响应的第一步，所有有访问安全敏感信息权限的用户都需要更改密码并使用双因 素认证。”此外，公司还表示同时“减少了有访问权限用户的数量并且限制了它们的行为。”