Xuất hiện lỗ hổng nghiêm trọng Zero-Day trong Bugzilla

Lỗ hổng nghiêm trọng này cho phép kẻ tấn công vượt qua phần kiểm tra email khi đăng ký một tài khoản Bugzilla mới, kẻ tấn công có thể sử dụng bất kỳ địa chỉ email nào để đăng ký tài khoản mà không cần phải truy cập vào hộp thư đến.

Hãng bảo mật Check Point Software Technologies đã công bố lỗ hổng (CVE-2014-1572) và nói rằng lần đầu tiên một lỗ hổng leo thang đặc quyền được tìm thấy trong các dự án Bugzilla từ năm 2002. Công ty Mozilla cũng đã xác nhận lỗi này tồn tại trong tất cả các phiên bản của Bugzilla từ phiên bản 2.23.3 trở đi. Sau khi phát hiện lỗ hổng, Bugzilla đã nhanh chóng phát hành một bản vá lỗi.

Lỗi này cho phép người dùng đạt được quyền quản trị và bằng cách sử dụng các thông tin quản trị đó, tin tặc có thể xem và chỉnh sửa các chi tiết lỗi cá nhân bí mật. Hacker khai thác lỗ hổng có thể can thiệp phá hủy thông tin lỗi để làm chậm quá trình sửa chữa lỗ hổng của phần mềm.

Việc khai thác thành công lỗ hổng này cho phép người dùng tạo ra bất kỳ thao tác nào, bao gồm cả tên đăng nhập. Điều này phá vỡ quá trình xác nhận e-mail và cho phép kẻ tấn công tạo tài khoản phù hợp với chính sách, trở thành một người sử dụng hợp lệ.

(Thanh Huyền)