Mozilla stihla opravit kritickou zranitelnost Firefoxu za 2 dny

Pouhé dva dny poté, co v prohlížeči Firefox byla objevena kritická chyba, vydala Mozilla opravu. Firma tak potvrdila pověst, že dokáže svůj prohlížeč záplatovat rychleji než Microsoft, Google nebo Apple.


Na kritikou zranitelnost Mozillu jako první zřejmě upozornil Morten Kråkvik z norské bezpečnostní firmy Telenor SOC.

Proti chybě již mezitím byly zaznamenány hromadné útoky. Ke zneužití bylo třeba mít zapnutý JavaScript. Zajímavostí je, že malware šířily nejenom weby podvodníků, ale k jeho tiché instalaci (drive-by download) docházelo i při návštěvě webu Nobelovy ceny. Ten se útočníkům neznámo jak podařilo kompromitovat a vsunout sem škodlivý kód. Návštěvníky automaticky přesměroval na web na Tchaj-wanu, odkud se stahovaly trojské koně. Šlo o celou řadu typů malwaru s různými funkcemi, útočníci při tom každopádně získali nad napadenými počítači plnou kontrolu. Podle německé bezpečnostní firmy Avira byl ale malware a jeho komunikace s řídicími servery napsán dost amatérsky.

Opravené verze mají číslo Firefox 3.6.12 a Firefox 3.5.15. Zranitelnost existovala ve Firefoxu pro Windows, Linux i MacOS, ačkoliv útočníci se soustředili téměř výhradně na uživatele Windows. Ve vývoji existující verze Firefox 4 podle Mozilly tímto problémem netrpěla.

Jedná se letos o čtvrtý případ, kdy aktualizace obsahuje pouze jedinou záplatu. Uživatelům Firefoxu by se již měla nabízet automaticky při spuštění prohlížeče.

Zajímavé je, že oprava byla ještě uvolněna i pro verzi 3.5, třebaže Mozilla se zavázala tuto verzi podporovat jen do září 2010.

 











Komentáře