Onderzoekers hebben in Bugzilla, het programma dat wordt gebruikt voor het bijhouden en melden van bugs in andere software, een zero day-lek ontdekt. Daardoor is het mogelijk om toegang tot afgeschermde bugs te krijgen waarvoor bijvoorbeeld nog geen update beschikbaar is.

Bugzilla wordt onder andere door de Mozilla Foundation, Wikimedia Foundation, WebKit, NASA, Yahoo!, GNOME, KDE, Apache, Red Hat en Novell gebruikt. Onderzoekers die in deze software problemen vinden kunnen dit melden via de Bugzilla-installatie van de betreffende software. Binnen Bugzilla kunnen gebruikers verschillende rechten hebben en is het mogelijk om bepaalde bugs af te schermen. Een kwetsbaarheid in Bugzilla maakt het mogelijk om bij het aanmaken van een account de e-mailverificatie te omzeilen. Er vindt namelijk geen controle plaats dat degene die het account registreert ook het opgegeven e-maildomein bezit.

Zo is het mogelijk om beheerdersrechten te krijgen door simpelweg met een e-mailadres te registreren dat een domein van de betreffende Bugzilla-installatiebeheerder gebruikt. De onderzoekers registreerden zich met admin@mozilla.org en kregen zo toegang tot elke privébug binnen Firefox en andere Mozilla-projecten. De kwetsbaarheid zou al 10 jaar in de software aanwezig zijn geweest. Mozilla, dat Bugzilla beheert, laat tegenover IT-journalist Brian Krebs weten dat het vandaag met een update komt om het probleem te verhelpen.