Kritikus sérülékenység a Firefoxban

A Mozilla beismerte, kritikus biztonsági sebezhetőség van a Firefox legújabb, 3.6-os verziójában. Március 30-án várható a javítás megjelenése.

A Mozilla biztonsági blogján [1] megjelent információk szerint távoli kódfuttatást lehetővé tevő biztonsági rés van a Firefox böngészőben. A hiba a legújabb, 3.6-os verziót érinti csupán, a régebbi változatok (3.0, 3.5) felhasználói biztonságban vannak, mint ahogy a Thunderbird és a SeaMonkey is, ezek ugyanis a Firefox régebbi verziójára épülnek.

A sérülékenységre egy orosz biztonsági szakértő, Jevgenyij Legerov talált rá még a hónap elején és ellátta a Mozillát megfelelő mennyiségű információval ahhoz, hogy a hibát reprodukálni és végül javítani tudják. Hogy a Firefox mely részét érinti a sebezhetőség és hogyan lehet kihasználni, egyelőre nem nyilvános.

A böngésző fejlesztői már befoltozták a rést, azonban a patch kiadása előtt szükség van annak tesztelésére is, ez zajlik jelenleg. A Mozilla tervei szerint március 30-án jelenik meg a javítás, de aki nem tud vagy akar addig várni, letöltheti a Firefox 3.6.2 kiadásra jelölt változatát [2] a Mozilla weboldaláról. A blogbejegyzés alapján a Firefox 3.7 fejlesztői változata is tartalmazza a hibát, így ennek felhasználóina javasolt a frissítés a legújabb "nightly buildre".

A böngészők biztonsága pár napja az érdeklődés homlokterébe került, miután a héten tartják a kanadai Vancouverben a CanSecWest biztonsági konferenciát, ahol negyedik alkalommal rendelzik meg a Pwn2Own versenyt, ahol böngészők és okostelefonokon futó operációs rendszerek feltörésével lehet próbálkozni, 100 ezer dolláros jutalomért. Aaron Portnoy, a versenyt támogató 3Com TippingPoint biztonsági szakértőjének múlt heti jóslata szerint [3] a böngészők közül a Microsoft IE8, az okostelefon operációs rendszerek közül pedig az Apple iPhone OS "esik el" elsőként.