Firefox Patches Zero Day, Hacking Contest Bugs

Csak napok miután a hacker kiadta a Firefox böngészővel szemben támadható kódot, a Mozilla fejlesztői javításokat végeztek.

A pénteken délután kiadták a zászlóshajó böngészőjének frissített 3.0.8 verzióját, csak két nappal azután, hogy a kódot a Milw0rm A weboldal és a javítás korábban meg lett ígérve.

Ez a frissítés egy olyan hibát is javít a TippingPoint kutatóintézetnek, amelyet a hacker a múlt héten a vállalat Pwn2Own versenyén nyert a CanSecWest biztonsági konferencián. Egyikük közül három használt egy német hacker, aki csak a keresztneve, Nils, 15 000 dollár készpénzt és laptopot nyert.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépéről]

A Mozilla fejlesztõi a "zéró napi" kizsákmányolásnak nevezett támadási kódnak köszönhetõen megjelentették a kiadást "kiemelt fontosságú firedrill biztonsági frissítésnek". A gyors munka kifizetődött, amint azt a jövő hét elején a tesztelés befejezése előtt várták.

A mozilla szerint mindkét hiba "kritikus".

A Nils hibája kihasználta a hibát egy Firefox-rutinban, amelyet a _moveToEdgeShift. A Mac OS X operációs rendszeren futó böngészőt használta, de más platformokra is hatással lehet.

A másik hiba, amely a böngésző XSL (Extensible Stylesheet Language) stíluslapjainak feldolgozásához kapcsolódik, hatással van a Firefoxra minden operációs rendszert, és hatással van a Seamonkey internetes alkalmazásra is.

Mindkét hiba előidézhető úgy, hogy az áldozatot rosszindulatúan kódolt weblap megtekintésére készteti, amely lehetővé teszi a támadó számára, hogy jogosulatlan szoftvert telepítsen az áldozat rendszerére. Ez a fajta web alapú rosszindulatú program, az úgynevezett meghajtó-letöltés, egyre népszerűbb az elmúlt években.

A Firefox következő frissítése, 3.0.9, április 21-én fog megjelenni.