De veelgebruikte software voor ontwikkelaars om bugs in hun code bij te houden en aan te pakken, blijkt zelf een ernstige bug te bevatten. Het gaat om een voorheen onbekend gat waar bij de onthulling nog geen patch voor bestond; een zogeheten 0-day gat of zeroday-lek. Daarlangs is in de Bugzilla-software van Firefox-maker Mozilla gedetailleerde informatie buit te maken over bugs en 0-days in andere software.

Goudmijn aan gaten

De kwetsbare software geeft ontwikkelaars een middel om ontdekte en aangemelde bugs in kaart te brengen om ze vervolgens te kunnen fixen. Dat aanmelden gebeurt door zowel gebruikers als developers zelf, waarbij de bugs kleine schoonheidsfoutjes maar ook ernstige beveiligingsgaten kunnen zijn. Bugzilla wordt niet alleen door Mozilla zelf gebruikt, maar ook door diverse andere softwaremakers waaronder ontwikkelaars van Linux-distributies.

Onderzoekers bij securityleverancier Check Point Software hebben een bug in Bugzilla ontdekt waarmee buitenstaanders volledig inzicht kunnen krijgen in de gedetailleerde bugrapporten, inclusief nog openstaande gaten. Dit gebeurt door een account aan te maken op de Bugzilla-installatie van een softwaredeveloper waarbij de buitenstaander de rechten van de ontwikkelaar verkrijgt.

10 jaar oude bug

De Check Point-onderzoekers hebben zichzelf bijvoorbeeld bij Mozilla aangemeld als zijnde admin@mozilla.org. Hierdoor kregen ze inzage in elke bug - publiek en nog geheim gehouden - in Firefox en andere software van de open source-stichting. Mozilla zelf meldt dat het geen meldingen heeft gekregen van Bugzilla-gebruikers dat er op deze wijze gevoelige informatie is buitgemaakt. Volgens Check Point is de bug al zeker 10 jaar oud. Inmiddels is er wel een patch voor de bug uitgebracht, weet cybercrime-onderzoeker Brian Krebs te melden.