Mozilla corrige falha de segurança crítica no BugZilla

Por Redação | 07 de Outubro de 2014 às 18h18
TUDO SOBRE

Mozilla

A Mozilla corrigiu nesta segunda-feira (6) uma falha crítica no Bugzilla, um aplicativo que serve para caçar bugs e realizar testes em outros softwares. O problema permitia que a aplicação fosse invadida por hackers, que acessariam seu banco de dados e, potencialmente, poderiam descobrir falhas, vulnerabilidades e problemas em programas que tenham sido testados previamente pela ferramenta.

O problema foi descoberto no final de setembro pelos especialistas da Check Point Security e compartilhados de forma sigilosa com a organização de código aberto. Ela afirma que ainda não existem ocorrências de uso da vulnerabilidade por hackers, e como a brecha ainda era amplamente desconhecida, a Mozilla pode aplicar um patch de correção de forma rápida e sem que o problema fosse de conhecimento geral, reduzindo seu impacto e também os riscos envolvidos para quem utiliza a ferramenta.

De acordo com as informações da PC World, a brecha na segurança do Bugzilla não apenas permitia que um criminoso obtivesse as credenciais de administrador do sistema, como também dava a ele acesso remoto ao que estava sendo feito na aplicação. Assim, ele poderia não apenas se aproveitar de falhas no design de produtos e serviços como também manipular o banco de dados de bugs, ocultando alguns deles ou alterando a forma como o software as detectaria, dificultando o trabalho dos desenvolvedores.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Além disso, em uma falha que poderia ser muito grave, a vulnerabilidade permitia também a alteração de códigos já validados. Assim, um hacker poderia até mesmo inserir backdoors ou tomar o controle de uma aplicação em funcionamento, plantando uma semente que, mais tarde, poderia ser usada para ataques, roubo de dados e outras aplicações criminosas.

Todas as edições mais recentes do aplicativo são afetadas e a falha existe a partir da versão 2.23.3, de 2006. A indicação para os usuários é de atualizar imediatamente o Bugzilla, não apenas para ter acesso ao lançamento mais recente em suas máquinas, mas também para garantir que não sejam afetados pela vulnerabilidade que, agora, é pública e pode levar alguns criminosos a tentarem se aproveitar de sistemas que ainda não estejam atualizados.

A atualização recém-lançada para o Bugzilla também melhora a segurança do aplicativo de maneira geral, adicionando proteções adicionais contra cross-site scripting e ataques de engenharia social, que poderiam resultar na obtenção de logins e senhas. Além disso, uma criptografia adicional foi implementada para garantir mais proteção contra vazamentos e interceptação de informações.

Entre os programas afetados estariam os da própria Mozilla, como o Firefox, além de outros projetos de código aberto, como o OpenOffice, LibreOffice, OpenSSH, GNOME e KDE, sem contar algumas distribuições Linux. Mas, como já informado pela organização e também pela Check Point Security, não existem informações sobre utilização da falha ou brechas causadas por sua exploração.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.