Mozilla přiznala kritickou zranitelnost ve Firefoxu

Mozilla v uplynulém týdnu přiznala objevení kritické zranitelnosti v nejnovější verzi Firefoxu s tím, že ji opraví do konce tohoto měsíce.


Objevení zranitelnosti je zajímavé i tím, že i když nebude opravena do doby konání hackerské soutěže Pwn2Own (více viz článek Hackeři budou soutěžit v prolamování Safari, Firefoxu, Chrome a IE), která proběhne ve dnech 24. – 26. března ve Vancouveru, organizátoři již informovali, že účastníkům nebude dovoleno tuto chybu zneužívat.

Mozilla konkrétně přiznala, že zranitelnost umožňuje vzdálené spuštění škodlivého kódu a její vývojáři již pracují na její opravě, která bude uvolněna spolu s Firefoxem 3.6.2 v úterý 30. března. Již nyní je k dispozici jeho noční build, který mohou uživatelé případně ozkoušet.

ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.2-candidates/build3/

Zranitelnost objevil ruský výzkumník Evgeny Legerov již před měsícem a poslal o ní zmínku na fóru Immunity, které slouží jako prostor pro vývojáře testující canvas. Nezveřejnil ale útočný kód a odmítal dokonce poskytnout Mozille detaily, která jej žádala o spolupráci, údajně kvůli nedostatku času. O zranitelnost se následně začala zajímat i dánská společnost Secunia a Mozilla nyní zveřejnila, že Legerov nakonec dodal více informací, díky kterým mohla být zranitelnost nalezena a analyzována.

Na 30. března je naplánováno také uvolnění vůbec poslední aktualizace dosluhujícího Firefoxu 3.0 s pořadovým číslem 3.0.19 a dále pak Mozilla opraví i Firefox 3.5 na verzi 3.5.9.











Komentáře