Fundacja Mozilla opublikowała finalną wersję 3.6.2 przeglądarki Firefox łatającą poważną lukę bezpieczeństwa oraz inne mniej niebezpieczne ale równie uciążliwe błędy. Wersja ta została udostępniona w trybie przyspieszonym już dziś, zamiast 30 marca dla platform Windows, Mac oraz GNU/Linux.
Wspomniany błąd bezpieczeństwa umożliwia zdalne przejęcie kontroli nad
atakowanym systemem . Luka polega na możliwość przekroczenia zakresu
liczb całkowitych wartości rozmiaru czcionki (przekroczenie zakresu
wartości liczby całkowitej powoduje przyjęcie wartości ujemnej) a
następnie przepełnienie buforu w funkcji dekompresji. Daje to możliwość
wykonania dowolnego kodu na maszynie ofiary i zakończenie pracy
przeglądarki.
Problem ten dotyczy tylko użytkowników przeglądarki serii 3.6, do której wprowadzono format WOFF.
Dużo ciekawsze niż sam błąd są kulisy zbierania informacji i ujawniania
błędu. Jewgienij Legerow opublikował informację o odkryciu (bez
jakichkolwiek innych danych) już 1 lutego na forum firmy Immunity,
szczegóły wkrótce znalazły się w komercyjnym oprogramowaniu Intevydis, a autor odmówił udostępnienia szczegółów błędu programistom Mozilli.
Ostatecznie odkrywca, po przemyśleniu całej sytuacji,
zrehabilitował się i przekazał dane na tyle precyzyjne, że umożliwiły
lokalizację i naprawę usterki.
Mozilla zaleca możliwie najszybszą aktualizację przeglądarki do najnowszej wersji.
Opracowano na podstawie:
Forum Immunity
Heise Online
Mozilla Foundation Security Advisory 2010-08
Haxite