Frissítve: súlyos biztonsági sebezhetőség a Firefox böngészőkben?

[ZDNet] Rendkívül súlyos biztonsági hiba lehet a Firefox böngészőben, állítja két hacker. A rést a ToorCon hacker konferencián prezentálták, amely állítólag JavaScript kód segítségével átveheti az irányítást a gép felett. A sebezhetőség állítólag minden platformon érinti a böngészőt, mivel annak JavaScript-implementációjával van gond -- súlyos gond, mondták a hackerek.

Mischa Spiegelmock és Andrew Wbeelsoi a rendezvényen bemutatták, hogy lehetséges egy weboldalon keresztül olyan rosszindulatú kódot a böngészővel megetetni, amitől az kifagy vagy jogosulatlan kódot kezd el futtatni. Spiegelmock szerint számtalan módja van a kiaknázásnak, és a Firefox JavaScript kezelése egy "rakás szemét", melyet "Képtelenség befoltozni".

Az eseményen jelen volt Jesse Ruderman, a Mozilla Foundation biztonságtechnikai alkalmazottja, aki igyekezett meggyőzni az előadó férfiakat, hogy osszák meg a probléma részleteit a fejlesztőkkel. A hackerek közölték mintegy 30 firefoxos résről tudnak, és nem tervezik azokat megosztani. Ruderman ajánlatát, miszerint hibánként az alapítvány 500 dollárt fizet, egyszerűen kinevették, és közölték, hogy az internet javának szolgálatában bűnözők (black hat hackerek) számára terveznek kommunikációs hálózatokat felállítani.

Window Snyder, a Mozilla biztonságtechnikia vezetője szerint, aki videofelvételről nézte meg a prezentációt, a veszély valódinak tűnik, de további vizsgálatot igényel. Hozzátette, hogy amennyiben nem a böngészőben, hanem a JavaScript motorban van a hiba, a javítás nem fog gyorsan elkészülni. Snyder továbbá nem tetszését fejezte ki az előadással kapcsolatban, mivel szerinte az alapján reprodukálható lehet, bár szerinte lehet, hogy éppen ez volt a két hacker célja.

A hír publikálását követően egyik olvasónk -- akinek ezúton is köszönjük -- jelezte, hogy a Mozilla fejlesztői oldalain további részletek olvashatóak az üggyel kapcsolatban, és ahol Mischa Spiegelmock is megszólal. A hacker közölte, hogy a jelzett sérülékenységgel (stack overflow) mindössze a Firefox lefagyását okozza, és a rendszer erőforrásait is teljesen leköti, és bár elméletben fennáll az idegen kód végrehajtásának esélye, ezt neki nem sikerül produkálnia, és nem tud másról sem, akinek esetleg igen.

Hozzátette, hogy nem tud semmiféle további 30 biztonsági résről, és arról sincs fogalma, hogy aki ezt állította, annak tényleg van-e. Kiemelte, hogy az előadást elsősorban viccesnek szánták. Ezzel együtt Window Snyder, a Mozilla biztonsági vezetője elmondta, hogy továbbra is folytatják a kockázat kiértékelését, és komolyan veszik a fenyegetettséget.