黑客从Mozilla的Bug跟踪系统Bugzilla成功窃取敏感漏洞信息，并利用未公开漏洞攻击Firefox用户。

185个未公开漏洞被访问

Mozilla公司在官方博客上发布了该黑客攻击情况，并指出该次信息泄漏源于一个特权用户帐号被攻破。黑客利用该帐号登陆其它网站并造成数据泄露。然后黑客获取了Bugzilla敏感帐号的访问权限，并且能够“下载Firefox和其它Mozilla产品的安全敏感的漏洞信息”。

Mozilla对外宣称攻击者访问了185个未公开的Firefox浏览器bug，其中有53个是高危漏洞。而在当时，这些高危漏洞中有10个漏洞还未修复，其它的漏洞在最近的版本中得到了修复。

1个高危漏洞被利用

而这10个未修复的漏洞中，Mozilla公司认为其中有一个被攻击者利用了。Mozilla官方在8月初标识了该漏洞，并提醒用户“俄罗斯某个新闻网站上的广告正在利用Firefox漏洞搜索用户敏感文件并上传到乌克兰的一台服务器上”。但该漏洞已在8月6日被修复了。

Mozilla称到目前为止还未有证据证明攻破公司Bugzilla特权帐号的攻击者利用了其它的漏洞。

Bugzilla被未授权访问早有迹象

该软件公司还指出该非授权访问Bugzilla的例子在2014年9月就被证实有了，而攻击者有能力访问该系统的时间可能要追溯到2013年9月。虽然Mozilla并未揭露具体什么时候发现Buglilla开始被未授权访问的，但指出一发现这种访问后就立即关闭了该特权帐号，并联系第三方安全公司进行法律评估分析。

“我们正在更新Bugzilla的安全策略，以降低未来这种类型的攻击带来的风险。”Mozilla在博客上写道。

Mozilla做出的立即有效的第一步，是要求所有访问安全敏感信息的用户修改密码，并且使用双因素进行认证。该公司还宣称“要减少特权用户的数量，并且要限制特权用户的访问权限。”

*参考来源：Arstechnica，译/猎狐安全平台，文章有修改，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）