每日安全資訊：Mozilla 為 Firefox 上週的 bug 致歉

安華金和發表於2019-05-11

由於 Mozilla 方面的一個失誤，導致許多 Firefox 使用者在上週末遇到了附加元件無法使用的 bug 。後來該公司釋出了更新，才讓瀏覽器恢復正常。對於此事，這家機構現已發表正式道歉，詳細解釋發生了怎樣的事情，且承諾會刪除期間為了推出修復程式而收集的私人資料。據悉，為了修復 bug，Firefox 初期希望使用者啟用遙測選項。因為在預設的情況下，其出於隱私考量而禁用了此類資料收集選項。

現在，我們已經知道附加元件遇到的故障，源自安全證書方面的 bug 。在 Mozilla Hacks 的一篇部落格文章中，技術長 Eric Rescorla 已經給出了詳細的解釋。

Joe Hidebrand 在另一篇文章中寫到：

我們在努力為 Firefox 帶來極棒的體驗，但可惜上週遭遇了失敗，對此我們深表歉意。

過去幾年，我們花費了很多時間，來思考如何將附加元件（Add-ons）變得更加安全。然而鑑於附加元件的功能是如此的強大，我們也必須努力構建和部署一套系統，以免使用者遭受惡意附加元件的侵擾。

至於上週的問題，其實源自防護系統中的一項錯誤部署—— 保險模式導致附加元件被禁用了。

儘管我們認為這套機制的基本設計原則是合理的，但仍會努力改進該系統，以防將來再次發生類似的問題。

此外，Hildebrand 還向關注 Firefox 最初“緊急修復”時段收集私人資料一事的網友們保證：

為儘快解決這個問題，我們曾呼籲使用者開啟遙測選項，以獲取附加資訊。

不過在 5 月 8 日 23:28 分的 Firefox 附加元件部落格上，我們宣佈已經不再需要開啟遙測選項，所以請大家根據自己的真實意願來選擇是否退出。

為儘可能地尊重使用者，Mozilla 決定刪除 5 月 4 日 11:00 到 5 月 11 日 11:00 期間手機的所有使用者的遙測與研究資料。

最後，Mozilla 表示將會披露與本次事件有關的更多細節，感興趣的朋友可以留意後續釋出的報告。

更多資訊

涉及 2.75 億條印度公民資訊的 MongoDB 資料庫被曝光和公開索引

援引外媒Security Discovery報導，他們於5月1日發現了一個未經保護和公開索引的MongoDB資料庫，其中包括了涉及印度公民的個人身份資訊的275,265,298條記錄。這些資訊中包括姓名、電子郵件地址、性別、教育水平和專業領域、專業技能和職稱、手機號碼、就業經歷和當前僱主、出生日期以及當前的薪資水平。

來源： cnBeta.COM

詳情： http://www.dbsec.cn/zx/20190511-5.html

研究人員披露駭客入侵了三家美國防毒軟體公司

Advanced Intelligence (AdvIntel) 公司的研究人員透露，名叫 Fxmsp 的組織正在積極銷售三家美國防毒軟體公司的原始碼和網路訪問。它提供了樣本作為證據證明其宣告是有效的。AdvIntel 的研究總監 Yelisey Boguslavskiy 稱他們已經通知了相關公司和美國執法機構。在安全社群 Fxmsp 已經是名聲在外，該組織在今年三月透露它能提供美國三家頂級防毒軟體公司的獨有資訊。它在地下駭客市場銷售這些公司軟體開發的原始碼和網路訪問，開價超過 30 萬美元。

來源： solidot.org

詳情： http://www.dbsec.cn/zx/20190511-3.html