Уязвимость нулевого дня в Bugzilla может затрагивать продукты Mozilla и Red Hat

Исследователи безопасности из Check Point Software Technologies использовали уязвимость, обнаруженную ими в программном языке Perl, для компрометации популярной системы отслеживания ошибок Bugzilla. В рамках эксперимента специалисты добавили четыре учетные записи в группу администраторов, наделив их привилегиями просмотра информации о нераскрытых уязвимостях.

Ход атаки был подробно описан в конфиденциальном отчете исследователей, который был обнародован лишь 6 октября. Согласно документу, в Check Point использовали новый класс ошибок, позволяющий «обмануть базу данных пользователей Bugzilla».

«Это не SQL-инъекция, а нечто относительно новое, - подчеркнул исследователь Шахар Тал (Shahar Tal). - Это часть исследований, которые мы проводили в течение нескольких месяцев, изучая определенную проблему в Perl. Bugzilla является хорошим примером и образцом, подводящим итог нашей работы, но это не единственный сервис, который оказался уязвимым к нашим атакам».

По его словам, брешь затрагивает программные продукты не менее чем 150 крупных разработчиков открытого ПО — начиная от Mozilla с OpenOffice и заканчивая Red Hat, а также ядром Linux. Все эти программы используют уязвимый код, предназначенный для отслеживания ошибок.

Ознакомиться с отчетом Check Point можно здесь .