ซอฟต์แวร์สมัยใหม่มักมีระบบติดตามบั๊ก (bug tracker) เพื่อติดตามความคืบหน้าของโครงการได้อย่างเป็นระบบ โครงการโอเพนซอร์สที่เปิดให้คนเข้าร่วมได้ก็มักเปิดเผยกระบวนการพัฒนาให้คนภายนอกรับรู้ ยกเว้นบั๊กความปลอดภัยที่มักแก้กันในวงปิดจนกระทั่งบั๊กเปิดเผยแล้ว จึงเปิดเผยกระบวนการต่อสาธารณะภายหลัง แต่บั๊กล่าสุดของ Bugzilla ซอฟต์แวร์ติดตามบั๊กสำคัญก็มีช่องโหว่ ทำให้แฮกเกอร์สามารถเข้าถึงบั๊กทุกตัวในระบบได้
บั๊กนี้รายงานโดยบริษัท Check Point Software ระบุว่าผู้ใช้สามารถเข้าถึงสิทธิผู้ดูแล Bugzilla ได้หากสามารถลงทะเบียนด้วยโดเมนเดียวกับผู้ดูแลระบบได้ และช่องโหว่ที่ทางบริษัทพบทำให้ผู้ใช้ที่ลงทะเบียนใหม่สามารถข้ามระบบยืนยันอีเมลได้ ทำให้ผู้ใช้ที่มุ่งร้ายสามารถเข้าถึงข้อมูลทั้งหมดได้ทันที
ปัญหาใหญ่คือบั๊กนี้ทำให้ซอฟต์แวร์ทั้งหมดที่บริหารโครงการโดย Bugzilla ตกอยู่ในความเสี่ยงทันที ซอฟต์แวร์ขนาดใหญ่มักมีบั๊กความปลอดภัยที่อยู่ระหว่างการแก้ไขค้างอยู่ในระบบอยู่เสมอ หากแฮกเกอร์สามารถเข้าถึงบั๊กเหล่านี้ได้ก็สามารถเจาะช่องโหว่เหล่านี้ได้ไม่ยากนัก
Bugzilla จะปล่อยอัพเดตภายในวันนี้
ที่มา - Krebs on Security