HARD CORE SECURITY LAB

Evgeny Legerov, rosyjski ekspert ds. bezpieczeństwa oraz założyciel firmy Intevydis, poinformował o powstaniu nowego exploitu wykorzystującego nieznaną do tej pory, krytyczną lukę w bardzo popularnej otwartej przeglądarce internetowej Mozilla Firefox 3.6.

Kod exploitu został przez Legerova włączony w skład komercyjnego oprogramowania do przeprowadzania zautomatyzowanych testów penetracyjnych Immunity Canvas, nie jest więc publicznie dostępny. Według zapewnień eksperta, na udany atak podatny jest Firefox 3.6 w domyślnej konfiguracji, pracujący w systemie Windows XP SP3 oraz Vista.

Nieznany do tej pory błąd pozwala na uszkodzenie stosu przeglądarki i w konsekwencji zdalne wykonanie dowolnego kodu w docelowym systemie operacyjnym. Założyciel firmy Intevydis zwraca jednocześnie uwagę, że nowa luka nie ma nic wspólnego z załatanymi ostatnio w Firefoksie 3.0 i 3.5 błędami, które również dawały możliwość uszkodzenia stosu przeglądarki.

Zgodnie ze swym niedawnym oświadczeniem, Legerov nie zamierza przekazać szczegółów dotyczących nowej luki twórcom Firefoksa. W związku z tym Mozilla na chwilę obecną nie jest w stanie naprawić wspomnianej podatności. Nie jest również jasne, czy rzeczywiście nowy exploit jest dostępny wyłącznie dla posiadaczy kosztownej licencji na oprogramowanie Immunity Canvas.

Z danych udostępnianych przez witrynę crash-stats.mozilla.com wynika bowiem, że w ciągu ostatnich kilku dni następowały gwałtowne zmiany w ilości obserwowanych globalnie awarii Firefoksa 3.6 pracującego w środowisku systemu Windows: