Bugzilla软件中的新漏洞可能会暴露零日漏洞

Mozilla流行浏览器中发现的一个严重安全漏洞被数十万知名软件组织使用，可能会向黑客暴露其非公共安全漏洞的细节。

 

因此，使用Bugzilla开源bug跟踪系统的开发人员和组织应该升级到最新的补丁版本；即5.0.1、4.4.10或4.2.15.

 

Bugzilla是Mozilla以及许多开源项目和私人组织使用的漏洞数据库。除了修补的缺陷，这些数据库还包含与报告给组织的未修补漏洞相关的敏感信息。

不幸的是，安全公司PerimeterX的研究人员发现了一个漏洞(CVE-2015-4499)在Bugzilla基于电子邮件的权限流程中，他们可以获得Bugzilla的高级权限。

 

因此，攻击者有可能轻松访问数据库中未修补的漏洞，然后在发布安全修补程序之前利用这些漏洞攻击用户计算机上受影响的软件。

 

因此，任何使用Bugzilla及其基于电子邮件的权限的人都会受到影响，包括流行的自由软件项目，如Apache Project、LibreOffice和Red Hat。

极易利用

据研究人员称，这种脆弱性是“非常容易利用。“要利用该漏洞，攻击者只需通过电子邮件注册一个常规帐户，并诱使系统相信攻击者是特权域的一部分。

 

这会导致系统认为攻击者是特权域的一部分，并授予特定于域的权限。

“这个漏洞的影响是严重的，”PerimeterX的安全研究员内特内尔·鲁宾在一篇博客文章中写道。“它可能允许攻击者访问数百种产品中未公开的安全漏洞…；想象一下，数百或数千个零日以及其他可能暴露的安全漏洞。”

鲁宾说，该漏洞是在Mozilla的Bugzilla上测试的。mozilla。org发现所有基于Perl的Bugzilla版本，包括2.0到4.2.14、4.3.1到4.4.9、4.5.1到5.0，在报告时都易受攻击。

目前尚不清楚Bugzilla漏洞已被恶意黑客用来访问更多未修补的漏洞。