Mozilla corrige falha de segurança crítica no BugZilla

A Mozilla corrigiu nesta segunda-feira (6) uma falha crítica no Bugzilla, um aplicativo que serve para caçar bugs e realizar testes em outros softwares. O problema permitia que a aplicação fosse invadida por hackers, que acessariam seu banco de dados e, potencialmente, poderiam descobrir falhas, vulnerabilidades e problemas em programas que tenham sido testados previamente pela ferramenta.

O problema foi descoberto no final de setembro pelos especialistas da Check Point Security e compartilhados de forma sigilosa com a organização de código aberto. Ela afirma que ainda não existem ocorrências de uso da vulnerabilidade por hackers, e como a brecha ainda era amplamente desconhecida, a Mozilla pode aplicar um patch de correção de forma rápida e sem que o problema fosse de conhecimento geral, reduzindo seu impacto e também os riscos envolvidos para quem utiliza a ferramenta.

De acordo com as informações da PC World, a brecha na segurança do Bugzilla não apenas permitia que um criminoso obtivesse as credenciais de administrador do sistema, como também dava a ele acesso remoto ao que estava sendo feito na aplicação. Assim, ele poderia não apenas se aproveitar de falhas no design de produtos e serviços como também manipular o banco de dados de bugs, ocultando alguns deles ou alterando a forma como o software as detectaria, dificultando o trabalho dos desenvolvedores.

Além disso, em uma falha que poderia ser muito grave, a vulnerabilidade permitia também a alteração de códigos já validados. Assim, um hacker poderia até mesmo inserir backdoors ou tomar o controle de uma aplicação em funcionamento, plantando uma semente que, mais tarde, poderia ser usada para ataques, roubo de dados e outras aplicações criminosas.

Todas as edições mais recentes do aplicativo são afetadas e a falha existe a partir da versão 2.23.3, de 2006. A indicação para os usuários é de atualizar imediatamente o Bugzilla, não apenas para ter acesso ao lançamento mais recente em suas máquinas, mas também para garantir que não sejam afetados pela vulnerabilidade que, agora, é pública e pode levar alguns criminosos a tentarem se aproveitar de sistemas que ainda não estejam atualizados.

A atualização recém-lançada para o Bugzilla também melhora a segurança do aplicativo de maneira geral, adicionando proteções adicionais contra cross-site scripting e ataques de engenharia social, que poderiam resultar na obtenção de logins e senhas. Além disso, uma criptografia adicional foi implementada para garantir mais proteção contra vazamentos e interceptação de informações.

Entre os programas afetados estariam os da própria Mozilla, como o Firefox, além de outros projetos de código aberto, como o OpenOffice, LibreOffice, OpenSSH, GNOME e KDE, sem contar algumas distribuições Linux. Mas, como já informado pela organização e também pela Check Point Security, não existem informações sobre utilização da falha ou brechas causadas por sua exploração.