Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Zeroday-lek verklapt andere Zerodays via bugtracker-software

Een vers gat in software om softwarebugs bij te houden, verklapt vele nog niet gedichte gaten in andere software. Bugtracker Bugzilla ‘lekt’ andermans bugs.

De veelgebruikte software voor ontwikkelaars om bugs in hun code bij te houden en aan te pakken, blijkt zelf een ernstige bug te bevatten. Het gaat om een voorheen onbekend gat waar bij de onthulling nog geen patch voor bestond; een zogeheten 0-day gat of zeroday-lek. Daarlangs is in de Bugzilla-software van Firefox-maker Mozilla gedetailleerde informatie buit te maken over bugs en 0-days in andere software.

Goudmijn aan gaten


De kwetsbare software geeft ontwikkelaars een middel om ontdekte en aangemelde bugs in kaart te brengen om ze vervolgens te kunnen fixen. Dat aanmelden gebeurt door zowel gebruikers als developers zelf, waarbij de bugs kleine schoonheidsfoutjes maar ook ernstige beveiligingsgaten kunnen zijn. Bugzilla wordt niet alleen door Mozilla zelf gebruikt, maar ook door diverse andere softwaremakers waaronder ontwikkelaars van Linux-distributies.

Onderzoekers bij securityleverancier Check Point Software hebben een bug in Bugzilla ontdekt waarmee buitenstaanders volledig inzicht kunnen krijgen in de gedetailleerde bugrapporten, inclusief nog openstaande gaten. Dit gebeurt door een account aan te maken op de Bugzilla-installatie van een softwaredeveloper waarbij de buitenstaander de rechten van de ontwikkelaar verkrijgt.

10 jaar oude bug


De Check Point-onderzoekers hebben zichzelf bijvoorbeeld bij Mozilla aangemeld als zijnde admin@mozilla.org. Hierdoor kregen ze inzage in elke bug - publiek en nog geheim gehouden - in Firefox en andere software van de open source-stichting. Mozilla zelf meldt dat het geen meldingen heeft gekregen van Bugzilla-gebruikers dat er op deze wijze gevoelige informatie is buitgemaakt. Volgens Check Point is de bug al zeker 10 jaar oud. Inmiddels is er wel een patch voor de bug uitgebracht, weet cybercrime-onderzoeker Brian Krebs te melden.

Geschreven door: Jasper Bakker op

Category: Nieuws, Programmeren

Tags: bug

Nieuws headlines

Laatste reactie