Επεκτάσεις του Firefox Μηδέν, Hacking Contest Bugs

Απελευθέρωσαν μια ενημερωμένη έκδοση 3.0.8 του προγράμματος πλοήγησης ναυαρχίδων την Παρασκευή το απόγευμα, μόλις δύο ημέρες μετά τη δημοσίευση του κώδικα στο Milw0rm

Αυτή η ενημερωμένη έκδοση επιδιορθώνει επίσης ένα σφάλμα που αποκαλύφθηκε στην ερευνητική εταιρία TippingPoint την περασμένη εβδομάδα από έναν χάκερ που την χρησιμοποίησε για να κερδίσει το διαγωνισμό Pwn2Own της εταιρείας στη διάσκεψη ασφάλειας CanSecWest. Ήταν ένα από τα τρία που χρησιμοποιήθηκε από έναν γερμανό χάκερ, ο οποίος έδωσε μόνο το όνομά του, Nils, για να απαιτήσει 15.000 δολάρια σε μετρητά και ένα φορητό υπολογιστή ως έπαθλο.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Οι προγραμματιστές της Mozilla περιέγραψαν την απελευθέρωση ως "ενημέρωση ασφαλείας firedrill υψηλής προτεραιότητας" χάρη στον κώδικα επίθεσης, γνωστός ως εκμετάλλευση "μηδενικής ημέρας". Η γρήγορη εργασία αποδιδόταν, όπως περίμενα ότι θα έπρεπε να πάρει μέχρι τις αρχές της επόμενης εβδομάδας για να ολοκληρώσει τις δοκιμές.

Η Mozilla λέει ότι και τα δύο σφάλματα είναι "κρίσιμα."

Το ελάττωμα του Nils εκμεταλλεύτηκε ένα σφάλμα σε μια ρουτίνα του Firefox γνωστή ως μέθοδος _moveToEdgeShift. Το άλλο λάθος που σχετίζεται με τον τρόπο με τον οποίο το πρόγραμμα περιήγησης επεξεργάζεται φύλλα στυλ XSL (Extensible Stylesheet Language), επηρεάζει τον Firefox όλα τα λειτουργικά συστήματα και επηρεάζουν την εφαρμογή Seamonkey Internet

Και τα δύο αυτά σφάλματα θα μπορούσαν να ενεργοποιηθούν με εξαναγκασμό θύματος να δει μια κακώς κωδικοποιημένη ιστοσελίδα, η οποία θα επέτρεπε σε έναν εισβολέα να εγκαταστήσει μη εξουσιοδοτημένο λογισμικό στο σύστημα του θύματος. Αυτό το είδος κακόβουλου λογισμικού που βασίζεται στο Web, το οποίο ονομάζεται download-drive, έχει γίνει όλο και πιο δημοφιλές τα τελευταία χρόνια.

Η επόμενη ενημερωμένη έκδοση του Firefox, 3.0.9, πρόκειται να κυκλοφορήσει στις 21 Απριλίου.