صرحت شركة Mozilla الجمعة الماضية، أن هناك مهاجم استطاع الوصول إلى معلومات أمنية حساسة عن عدد كبير من الثغرات التي لم يتم إصلاحها بعد في Firefox، وهناك ما يشير إلى استغلال واحدة من هذه الثغرات على الأقل على نطاق كبير.

ونفت الشركة حدوث الاختراق بسبب وجود ثغرة أمنية في Mozilla Bugzilla، بل أكدت أن المهاجم استطاع الحصول على معلومات دخول خاصة بحساب لديه صلاحيات واسعة.

وكان قد تم التحقق في وقت قريب من عملية وصول غير مصرح بها في سبتمبر 2014، كما أن هناك بعض المؤشرات التي تدل على أن المهاجم ربما استطاع الوصول لهذه الثغرات منذ بداية شهر سبتمبر من عام 2013.

استطاع المهاجم الوصول إلى 185 ثغرة أمنية غير معلنة، من بينهم 53 ثغرة تم تصنيفهم كثغرات شديدة الخطورة، وهناك 43 ثغرة أخرى كان قد تم إصلاحهم بالفعل في النسخة التي تم إصدارها من Firefox تزامنا مع وقت اكتشاف المهاجم لهم.

وتقنياً فإنه من الممكن استخدام أي من هذه الثغرات لبدء هجوم على المستخدمين. واحدة من هذه الثغرات والتي ظلت تستغل لمدة 36 يوم تقريباً في الهجوم على المستخدمين، تم إصلاحها في 6 أغسطس 2015.

أيضاً هناك عدد من الثغرات بالتأكيد تم استغلالها لكن بطريقة محدودة، مما صعب على الشركة وعلى الباحثين الأمنيين ملاحظة الأمر.

لكن الأخبار الجيدة أن هذه الاختراق أجبر شركة Firefox على القيام بإصلاح بقية الثغرات، وقد تم بالفعل إصلاحها مع Firefox 40.0.3، والذي صدر في 27 أغسطس. ونصحت الشركة المستخدمين الذين لم ينتقلوا بعد إلى هذا الإصدار بالتحديث الفوري.

Mozilla قد قامت بعمل العديد من التغييرات التي ينبغي لها أن تجعل القيام بمثل هذه الهجمات مستحيلا، أو على الأقل ستحد منها بشكل كبير: حيث قامت الشركة بعمل إعادة تعيين لجميع كلمات المرور الخاصة بالمستخدمين الذين يتمتعون بصلاحيات مميزة، بالإضافة إلى قيام الشركة باستخدام two-­factor authentication عند عملية الولوج إلى Bugzilla، كما أن الشركة قامت بتقييد الوصول إلى المعلومات من قبل المستخدمين كل حسب صلاحياته.