Mozilla ha annunciato pubblicamente che zone riservate di Bugzilla – sito per il tracking dei bug dove, tra le altre cose, sono elencati bachi non ancora pubblicamente resi noti – sono state attaccate. Gli attacker nella giornata di venerdì 4 settembre sono riusciti a ottenere accesso a 185 bug riguardanti la sicurezza, bachi che, come già detto, non erano stati finora pubblicamente resi noti. Mozilla spiega che le informazioni ottenute potrebbero essere usate per attaccare gli utenti che usano Firefox.
Mozilla sembra avere sottovalutato la probabilità di attacco: le informazioni non erano memorizzate in aree accessibili con meccanismi di verifica in due passaggi, opzione che avrebbe fornito un’ulteriore livello di sicurezza per l’accesso all’account riservato chiedendo di accedere tramite un elemento noto (la password) e un elemento secondario (es. un codice inviato via SMS a un telefono). A rendere ancora più preoccupante la questione è che a quanto pare gli attacker avevano avuto modo di trovare come accedere al sistema sin da settembre del 2013.
A detta di Mozilla tutte le falle carpite sono ad ogni modo state risolte con la versione di 40.0.3 di Firefox, rilasciata il 27 agosto scorso. Se state usando questa versione, non ci dovrebbero essere pericoli per la sicurezza. Se state usando versioni precedenti, ovviamente è il caso di aggiornare prima possibile (potete verificare la release selezionando dal menu “Firefox” la voce “Informazioni su Firefox”).
