Mozilla、Bugzillaが不正アクセスを受けて未公開の脆弱性情報が流出していたことを公表

Mozillaは4日、バグトラッカーのBugzillaが不正アクセスを受け、未公開の脆弱性など一般公開されていなかったバグ情報が流出していたことを公表した(Mozilla Security Blogの記事、VentureBeatの記事、Ars Technicaの記事)。

一般公開されないバグ情報にアクセスできるのはBugzillaの特権ユーザーのみだが、パスワードが流出した他のWebサイトと同じパスワードを使用していたユーザーのアカウントが不正アクセスに使われたとみられる。確認された不正アクセスで最も古いものは2014年9月で、2013年9月には不正アクセスが行われていた可能性もあるとのこと。

攻撃者のアクセスが確認された未公開バグ185件のうち、重大な脆弱性は53件。このうち43件は攻撃者がアクセスした時点で修正済みであり、攻撃者がアクセスしてから修正までの期間が7日以内のものが2件、7～36日が5件、131日が1件、157日が1件、335日が1件となっている。

修正までの期間が36日以内の脆弱性のうち、1件は8月5日に攻撃が確認され、8月6日のアップデートで修正されたもの。これ以外に流出した脆弱性による攻撃は確認されておらず、8月27日リリースのFirefox 40.0.3ですべて修正されているとのこと。

不正アクセスの発生を受けてMozillaでは、Bugzillaの特権ユーザーにパスワードの変更と2段階認証の利用を義務付け、特権ユーザーの数も減らしていくとのことだ。　スラドのコメントを読む | ITセクション | Firefox | セキュリティ | スラッシュバック | バグ | Mozilla | IT | 情報漏洩

　関連ストーリー：
Firefoxに深刻な脆弱性、Mozillaが更新を呼びかける 2015年08月08日
Bugzillaに未解決の脆弱性が発見される 2014年10月09日
MozillaのBugzillaに1000000個目のバグが登録される 2014年04月23日
バグトラッキングシステム「Bugzilla」、初リリースから15周年 2013年09月17日