ثغرة جديدة في Bugzilla ربما تؤدي لكشف العديد من الثغرات Zero-Day
اكتشاف ثغرة خطيرة في Bugzilla، والذي يستخدم من قبل العديد من شركات البرمجيات البارزة، هذه الثغرة تؤدي إلى احتمالية تسريب تفاصيل حول الثغرات الأمنية الغير معلن عنها والتي لم يتم إصلاحها بعد.
لذا فمن الأفضل للمطورين والمؤسسات التي تستخدم نظام تتبع الثغرات مفتوح المصدر Bugzilla أن يقوموا بالتحديث إلى الإصدار 5.0.1 أو 4.4.10 أو 4.2.15.
Bugzilla هي قاعدة بيانات ثغرات تستخدم من قبل Mozilla فضلا عن العديد من المشاريع مفتوحة المصدر، والمنظمات الخاصة. وبالإضافة إلى احتوائها على الثغرات والإصلاحات الخاصة بها، فهي أيضاً تحتوي على معلومات حساسة تتعلق بثغرات لم يتم إصلاحها بعد وتم إبلاغها للشركات.
ولسوء الحظ، قام باحثين أمنيين بشركة PerimeterX باكتشاف ثغرة في Bugzilla منحت رقم (CVE-2015-4499) هذه الثغرة تتعلق بالتصاريح، وباستغلالها تمكنوا من الحصول على صلاحيات واسعة على Bugzilla.
وكنتيجة لذلك، فمن المحتمل أن يستطيع المهاجم بسهولة أن يصل إلى الثغرات التي لم يتم إصلاحها بعد، ومن ثم استغلالها في بدء هجوم على الأجهزة المثبت بها البرمجيات المصابة، وقبل صدور معالجة لها.
ووفقاً لما قاله الباحثين، فإن الثغرة تم اختبارها على Bugzilla.mozilla.org، ووجدوا أن كل إصدارات Bugzilla المبنية على Perl، بداية من الإصدار 2.0 وحتى 4.2.14, 4.3.1 و 4.4.9, 4.5.1 حتى 5.0 مصابين.
وحتى الآن ليس هناك تأكيد من قبل الشركة حول ما إذا كان هناك من استطاع الوصول إلى أي من الثغرات الموجودة بـ Bugzilla واستغلالها.
