Poprawki w Firefoksie Zerowe błędy w hakowaniu

Tylko dni po tym, jak haker wydał kod, który mógłby zostać użyty do zaatakowania przeglądarki Firefox, programiści Mozilli mają poprawkę.

Wydali zaktualizowaną wersję 3.0.8 swojej flagowej przeglądarki w piątek po południu, zaledwie dwa dni po tym, jak kod został wysłany do Milw0rm Strona internetowa i wcześniejsza poprawka została obiecana.

Ta aktualizacja naprawia również błąd ujawniony firmie badawczej TippingPoint w zeszłym tygodniu przez hakera, który wykorzystał ją do wygrania konkursu Pwn2Own firmy na konferencji bezpieczeństwa CanSecWest. Był to jeden z trzech używanych przez niemieckiego hakera, który dał tylko swoje imię, Nils, aby zdobyć 15 000 USD w gotówce, a laptop jako nagrody.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Twórcy Mozilli opisali tę wersję jako "aktualizację zabezpieczeń o wysokim priorytecie firedrill" dzięki kodowi ataku, określanemu jako exploit "zero dnia". Szybka praca się opłaciła, ponieważ spodziewali się, że potrwa do początku przyszłego tygodnia, aby zakończyć testy.

Mozilla twierdzi, że oba błędy są "krytyczne".

Błąd Nilsa wykorzystał błąd w procedurze Firefoksa znanej jako metoda _moveToEdgeShift. Użył go do zhakowania przeglądarki działającej na Mac OS X, ale może również wpłynąć na inne platformy.

Druga wada, związana ze sposobem, w jaki przeglądarka przetwarza arkusze stylów XSL (Extensible Stylesheet Language), wpływa na Firefoksa w wszystkie systemy operacyjne, a także wpływa na aplikację internetową Seamonkey.

Oba te błędy mogły zostać wywołane przez nakłonienie ofiary do wyświetlenia złośliwie zakodowanej strony internetowej, która umożliwiłaby osobie atakującej zainstalowanie nieautoryzowanego oprogramowania w systemie ofiary. Tego typu złośliwe oprogramowanie internetowe, zwane drive-by download, stało się w ostatnich latach coraz bardziej popularne.

Następna aktualizacja Firefoksa, 3.0.9, ma się ukazać 21 kwietnia.