Firefox 3.6.2: Neplánovaná oprava kritické zranitelnosti

Oprava přišla těsně před začátkem hackerské soutěže Pwn2Own, která bude probíhat mezi  24. a 26. březnem v kanadském Vancouveru. Více informací o ní najdete v článku Hackeři budou soutěžit v prolamování Safari, Firefoxu, Chrome a IE. V uplynulých dnech navíc přišli s opravami i další výrobci webových prohlížečů jako Opera, Google i Apple.

Mozilla původně chtěla opravu vydat až 30. března při naplánovaném termínu pro aktualizace, nicméně se kvůli medializaci objevené zranitelnosti dostala pod tlak a nakonec se tedy rozhodla pro opravu Firefoxu mimo běžný rozvrh. Zástupci Mozilly potvrdili, že kritická zranitelnost v rutině pro dekompresi fontů mohla být exploitována a při pádu prohlížeče mohlo dojít ke spuštění škodlivého kódu. Celkově byla ovšem "zalátána" asi i destíka menších chybek, které mají soutěžícím hackerům ztížit jejich práci.

Kritickou zranitelnost objevil ruský bezpečnostní expert Evgeny Legerov v minulém měsíci pomocí „hackerského“ nástroje VulnDisco, který lze získat jako doplněk penetračního testovacího kitu pro canvas. Oprava ovšem trvala delší dobu zejména proto, že Legerov nechtěl Mozille poskytnout detailnější informace. Více viz článek Mozilla přiznala kritickou zranitelnost ve Firefoxu. Zranitelnost byla obsažena ve všech verzích Firefoxu 3.6, ale ne ve starších řadách 3.0 a 3.5. Problém byl konkrétně ve způsobu implementace WOFF písem (Web Open Font Format), která přibyla právě ve Firefoxu 3.6.

Jak již bylo řečeno, oprava přichází těsně před soutěží hackerů, ovšem její pořadatelé již s předstihem zveřejnili, že tuto zranitelnost nebude možné během Pwn2Own využívat. Vítěz soutěže si odnese domů laptop, který mohl používat k prolamování zabezpečení a navíc i odměnu 10 000 dolarů. Obecně se očekává, že nejsnáze prolomitelné bude Safari, které se v loňském ročníku ukázalo jako nejlépe zdolatelné a bylo prolomeno během několika vteřin. Více viz loňský článek Mac OS X se Safari padl za pár vteřin, nepřežil ani Internet Explorer 8 na našem sesterském SecurityWorldu.

Firefox 3.6.2 je k dispozici ke stažení pro Windows, Mac OS a Linux, i když Evgeny Legerov původně upozornil, že k problému dochází pod Windows XP a Vistou. Využít lze také automatické aktualizace přímo v prohlížeči.