Firefox Patches Nullag, Hacking Contest Bugs

Bare dager Etter en hacker-utgitt kode som kan brukes til å angripe Firefox-nettleseren, har Mozilla-utviklere en løsning.

De ga ut en oppdatert 3.0.8-versjon av flaggskipbrowseren fredag ​​ettermiddag, bare to dager etter at koden ble postet til Milw0rm Nettstedet og tidligere enn løsningen ble lovet.

Denne oppdateringen løser også en feil som ble avslørt til forskningsfirmaet TippingPoint i forrige uke av en hacker som brukte den til å vinne selskapets Pwn2Own-konkurranse på CanSecWest-sikkerhetskonferansen. Det var en av tre som ble brukt av en tysk hacker, som bare ga sitt fornavn Nils til å kreve USD 15 000 i kontanter og en bærbar PC som premier.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Mozilla-utviklere hadde beskrevet utgivelsen som en "høy prioritet firedrill-sikkerhetsoppdatering" takket være angrepskoden, kjent som en "null dag" -utnyttelse. Det hurtige arbeidet betalte seg, som de hadde forventet at det skulle ta til tidlig neste uke for å fullføre testing.

Mozilla sier at begge feilene er "kritiske".

Nils 'feil utnyttet en feil i en Firefox-rutine kjent som metode _moveToEdgeShift. Han brukte den til å hacke nettleseren som kjører på Mac OS X, men det kan også påvirke andre plattformer.

Den andre feilen, som har å gjøre med måten nettleseren behandler XSL (Extensible Stylesheet Language) stylesheets, påvirker Firefox på alle operativsystemene, og påvirker også Seamonkey Internett-applikasjonen.

Begge disse feilene kan utløses ved å lure et offer for å se en skadelig webside, noe som vil tillate en angriper å installere uautorisert programvare på et offerets system. Denne typen nettbasert malware, kalt en nedlastning, har blitt stadig mer populær de siste årene.

Firefox neste oppdatering, 3.0.9, er satt til å bli utgitt 21. april.