Evgeny Legerov, rosyjski ekspert ds. bezpieczeństwa oraz założyciel firmy Intevydis, informował już miesiąc temu o powstaniu nowego exploitu wykorzystującego nieznaną do tej pory, krytyczną lukę w otwartej przeglądarce internetowej Mozilla Firefox 3.6. Kod exploitu nie został przez Legerova upubliczniony, lecz rzekomo włączony w skład komercyjnego oprogramowania do przeprowadzania zautomatyzowanych testów penetracyjnych Immunity Canvas. Wielu ekspertów powątpiewało w wiarygodność Rosjanina, tymczasem Mozilla przyznała w końcu, że luka jednak istnieje. Oznacza to, że już od ponad miesiąca, wszyscy użytkownicy Firefoksa 3.6, przeglądając strony internetowe z systemów operacyjnych Windows, są narażeni na wykonanie w ich systemie dowolnego złośliwego kodu…
Mozilla potwierdziła obecność luki, publikując ostrzeżenie w ramach Mozilla Security Blog. Błąd jest niezwykle poważny i pozwala potencjalnym intruzom na wykonania dowolnego kodu w systemie ofiary. Problem zostanie rozwiązany poprzez wydanie Firefoksa 3.6.2, które to zostało zaplanowane na 30. marca. Użytkownikom, którzy już teraz chcieliby zabezpieczyć własne systemy, Mozilla proponuje zainstalowanie przeglądarki w wersji 3.6.2 Beta. Oczywiście można również rozważyć tymczasową zmianę przeglądarki internetowej.
Wygląda na to, że wizerunek Firefoksa jako bezpiecznej przeglądarki internetowej legł ostatecznie w gruzach. Nie chodzi oczywiście o sam fakt odnalezienia krytycznej luki, bo tego typu błędy znajdują się praktycznie w dowolnym oprogramowaniu. Chodzi o to, że jak przyznają (wbrew wcześniejszym oświadczeniom) sami twórcy tej popularnej przeglądarki, Legerov przekazał im wszystkie niezbędne informacje dotyczące błędu, tymczasem musiał upłynąć ponad miesiąc do czasu opublikowania oficjalnego ostrzeżenia o błędzie!
Mozilla was contacted by Evgeny Legerov, the security researcher who discovered the bug referenced in the Secunia report, with sufficient details to reproduce and analyze the issue. The vulnerability was determined to be critical and could result in remote code execution by an attacker.
Upłynął wiec już miesiąc od czasu utworzenia exploitu Zero Day zdolnego do wykorzystania luki. W tym czasie użytkownicy przeglądarki nie mieli szans na obronę przed nieznanym rodzajem ataku, ponieważ Mozilla nie potwierdziła aż do teraz istnienia błędu, ani nie zaproponowała żadnych tymczasowych rozwiązań naprawczych…
Dodaj komentarz