Állítólagos kritikus sebezhetőség a Firefox 3.6-ban

Egy orosz IT-biztonsági cég, az automatizált tesztelést segítő exploit csomagot árusító Intevydis szerint a windowsos Firefox 3.6 kódjában található egy hiba, amelyet kiaknázva puffer túlcsordulást érhet el a támadó, méghozzá magas megbízhatósággal.

Mivel a támadó kód egy kereskedelmi csomag része, ezért az Intevydis nem publikálta, valamint üzleti okokból a sérülékenységet sem részletezte. A bejelentés egyébként február elsejei, vagyis a biztonsági közösség nagyobb részének közel három hetébe telt, mire reagált egy 0-day exploit meglétének bejelentésére.

Bizonyíték hiányában nem tudni, valóban létezik-e az adott rés a böngészőben, és ha igen, mely verziókat és böngésző-platform kombinációkat érinti. Az exploitcsomag egy állítólagos vásárlója arra panaszkodik, hogy nem sikerült produkálnia semmiféle hibát Firefox 3.6, 3.5.8, valamint XP SP3 és Vista SP2 kombinációkkal.

A Secunia mindenesetre komolyan vette a bejelentést, és múlt hét csütörtökön felvette biztonsági figyelmeztetései közé az ismeretlen sebezhetőséget, méghozzá kiemelten kritikus besorolással, mivel távoli hozzáférést tesz lehetővé. Publikálás hiányában a CVE-adatbázisba sem került be, így egyelőre a hálózati biztonsági szkennelést végző eszközök sem képesek jelezni meglétét. A HWSW látogatói több mint 60 százalékban Firefox/Windows kombinációt használnak a februári statisztikák alapján.

A Mozilla idén elsőként február 17-én, múlt hét szerdán adott ki biztonsági figyelmeztetéseket, összesen 5 sebezhetőséggel kapcsolatban, amelyből 3 kritikus, és érinti a Firefox böngésző több kiadását is. Ezek közül egy sem hivatkozik az orosz közzétételre, ugyanakkor memóriakorrupciós eseteket tárgyal, amelyeket kihasználva egy támadó saját kódot juttathat a Firefox által használt memóriaterületre, amelyet a szoftver aztán feldolgozhat. Ezeket a réseket a Mozilla foltozta február 18-án, pénteken.