HARD CORE SECURITY LAB

Chodzi o krytyczną lukę odnalezioną w przeglądarce internetowej Mozilla Firefox 3.6, w wersji przeznaczonej dla systemów operacyjnych Windows. Evgeny Legerov, rosyjski ekspert ds. bezpieczeństwa oraz założyciel moskiewskiej firmy Intevydis, informował już miesiąc temu o powstaniu nowego exploitu wykorzystującego nieznaną do tej pory, krytyczną lukę w popularnym Firefoksie. Kod exploitu nie został przez Legerova upubliczniony, lecz włączony w skład komercyjnego oprogramowania do przeprowadzania zautomatyzowanych testów penetracyjnych Immunity Canvas.

Pomimo upublicznienia wiarygodnych informacji o odnalezieniu luki, (komercyjnego) udostępnienia zdolnego do jej wykorzystania exploitu oraz mimo ostrzeżeń opublikowanych między innymi przez firmę Secunia (Secunia Advisory SA38608), Mozilla przez ponad miesiąc nie ostrzegła swych użytkowników przed zagrożeniem. Fundacja potwierdziła obecność luki dopiero kilka dni temu, publikując ostrzeżenie w ramach Mozilla Security Blog. Błąd jest niezwykle poważny i pozwala potencjalnym intruzom na zdalne wykonania dowolnego kodu (nie jest wymagana jakakolwiek interakcja z użytkownikiem przeglądarki) w systemie ofiary. Problem zostanie rozwiązany poprzez wydanie Firefoksa 3.6.2, które to zostało zaplanowane na 30. marca.

Niemiecki Federalny Urząd ds. Bezpieczeństwa Technologii Informacyjnych (BSI) zalecił, by przynajmniej do czasu wydania przez Mozillę odpowiednich poprawek, internauci korzystali z alternatywnego oprogramowania. Warto przypomnieć, że Mozilla zaleciła natomiast wszystkim użytkownikom obawiającym się potencjalnych ataków, zainstalowanie przeglądarki w wersji 3.6.2 Beta.

Przypomnijmy również, że wspomniana niemiecka organizacja rządowa nie po raz pierwszy zaleca internautom zmianę przeglądarki. Podobna sytuacja miała miejsce w styczniu i była związana z odkryciem luki (CVE-2010-0249) obecnej w niemal wszystkich wersjach przeglądarki Internet Explorer.