Патчи Firefox Zero-day, Hacking Contest Bugs

Только дни после того, как хакер выпустил код, который может быть использован для атаки браузера Firefox, разработчики Mozilla имеют исправление.

Они выпустили обновленную версию 3.0.8 своего флагманского браузера в пятницу днем, всего через два дня после того, как код был отправлен в Milw0rm Веб-сайт и ранее, чем было обещано.

Это обновление также исправляет ошибку, обнаруженную исследовательской фирмой TippingPoint на прошлой неделе хакером, который использовал его, чтобы выиграть конкурс Pwn2Own компании на конференции безопасности CanSecWest. Это был один из трех, используемый немецким хакером, который дал только свое имя, Нильс, чтобы потребовать 15 000 долларов наличными и ноутбук в качестве призов.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Разработчики Mozilla описали выпуск как «высокоприоритетное обновление безопасности firedrill» благодаря коду атаки, известному как «нулевой день». Скорая работа окупилась, как и ожидалось, до начала следующей недели для завершения тестирования.

Mozilla говорит, что обе ошибки являются «критическими».

Недостаток Nils использовал ошибку в подпрограмме Firefox, известную как метод _moveToEdgeShift, Он использовал его, чтобы взломать браузер, работающий на Mac OS X, но он может повлиять и на другие платформы.

Другой недостаток, связанный с тем, как браузер обрабатывает таблицы стилей XSL (Extensible Stylesheet Language), влияет на Firefox на всех операционных систем, а также влияет на интернет-приложение Seamonkey.

Обе эти ошибки могут быть вызваны путем обмана жертвы при просмотре злонамеренно кодированной веб-страницы, которая затем позволит злоумышленнику установить несанкционированное программное обеспечение в системе жертвы. Этот вид вредоносной программы на базе Интернета, называемый загрузочной загрузкой, становится все более популярным в последние годы.

Следующее обновление Firefox, 3.0.9, будет выпущено 21 апреля.