Záplaty Firefoxu Zero-day, Hacking Contest Bugs

V pátek odpoledne vydali aktualizovanou verzi 3.0.8 svého navigačního prohlížeče, jen dva dny poté, co byl kód vyslán do Milw0rm

Tato aktualizace také opravuje chybu, kterou minulý týden odhalila výzkumná firma TippingPoint hacker, který ji použil k získání soutěže Pwn2Own společnosti na konferenci zabezpečení CanSecWest. Jeden z třech používaných německými hackery, kteří dali pouze své jméno, Nils, požadovali 15 000 dolarů v hotovosti a notebook jako ceny.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Vývojáři společnosti Mozilla popsali verzi jako "bezpečnostní aktualizaci s vysokou prioritou" díky kódu útoku známému jako zneužívání "nulového dne". Rychlá práce se vyplatila, protože se očekávalo, že do začátku příštího týdne dokončí testování.

Mozilla tvrdí, že obě chyby jsou "kritické".

Nilsova chyba využila chybu v rutině Firefox známou jako metoda _moveToEdgeShift. Využil to, aby narazil na prohlížeč se systémem Mac OS X, ale mohl by to ovlivnit i jiné platformy.

Další chyba, která souvisí se způsobem, jakým prohlížeč zpracovává šablony stylu XSL (Extensible Stylesheet Language), ovlivňuje Firefox na všechny operační systémy a také ovlivňuje internetovou aplikaci Seamonkey.

Obě tyto chyby by mohly být spuštěny tím, že podvedl oběť do prohlížení škodlivě kódované webové stránky, což by umožnilo útočníkovi nainstalovat neoprávněný software do systému oběti. Tento druh webového malwaru, který se nazývá stahování z počítače, se v posledních letech stává stále populárnějším.

Další aktualizaci Firefoxu, verze 3.0.9, bude vydána 21. dubna.