Al parecer desde hace un año el repositorio de fallos Bugzilla ha sido infiltrado por un atacante para robar información de vulnerabilidades no parchadas de Firefox.
Bugzilla es una herramienta para el seguimiento de errores de software. Aunque es público, Bugzilla mantiene restricciones de acceso a la información sensible de seguridad relacionada con los errores de software. Es utilizada por desarrolladores de software libre y propietario.
Se ha reportado que el atacante ha utilizado la información robada para atacar a los usuarios de Firefox. Se estima que el navegador es utilizado por casi el 22 por ciento de los internautas.
Ya Mozilla está investigando el ataque. Se cree que el atacante usó la información robada para explotar una vulnerabilidad que podría permitir a un atacante robar archivos sensibles del computador de la víctima. Esta vulnerabilidad fue corregida el pasado 6-Ago.
No hay indicios de que alguna otra información robada haya sido utilizada en ataques a los usuarios de Firefox. La versión más reciente de Firefox ha corregido las vulnerabilidades del navegador y que el atacante pudo haber conocido tras su ataque a Bugzilla.
Mozilla está implementando acciones para mitigar el riesgo de futuros ataques a Bugzilla. Por lo pronto se está requiriendo a los usuarios de Bugzilla para que cambien su contraseña y utilicen mecanismo de doble factor de autenticación. También se ha reducido el número de usuarios con acceso privilegiado y limitado lo que pueden hacer.