Mozilla ha recentemente lanciato l’allarme su un nuovo problema di sicurezza presente in Bugzilla, software Open Source concepito per tenere traccia di vulnerabilità e bachi nei progetti software e a sua volta vulnerabile a tentativi di violazione nei casi in cui i permessi di accesso fossero gestiti per mezzo di e-mail.
Le versioni di Bugzilla precedenti alle ultime release del tool (5.0.1, 4.4.10, 4.2.15) risultano essere affette dal problema citato, comunica Mozilla, e un malintenzionato potrebbe sfruttare la falla per accedere ai bug privati all’interno del codebase con relativa compromissione della sicurezza del progetto.
I bug privati compromessi possono poi essere sfruttati per sviluppare exploit per specifici progetti software con un’ampia base di utenza; il fatto che il problema sia presente in Bugzilla già a partire dalla versione 2.0 espone al rischio programmi di alto profilo come il browser Firefox.
La falla di Bugzilla consiste nell’identificare un utente – malevolo – come parte di un dominio privilegiato, fornendo così permessi di accesso specifici per quel dominio. La vulnerabilità dovrebbe essere “estremamente facile da sfruttare”, avverte Mozilla, quindi l’aggiornamento della suite è più che consigliato – assieme alla disabilitatone dei permessi basati su e-mail.
Via | PerimeterX
/https://www.html.it/app/uploads/2023/09/DevToys.png)
/https://www.html.it/app/uploads/2009/01/server.png)
/https://www.html.it/app/uploads/2019/06/firefox-1.jpg)
/https://www.html.it/app/uploads/2018/01/power_battery-1.jpg)