Támadás várható a Firefox tulajok ellen

Nemrég írtunk arról, hogy felfedeztek a böngészőben egy olyan, puffertúlcsorduláson alapuló biztonsági rést, amelynek révén a támadó titkosan, az érintett felhasználó tudomása nélkül ártalmas szoftvert futtathat a célpont számítógépen. A hibáról egy hete szereztek tudomást az alternatív böngésző fejlesztői, miután a sebezhetőséget felfedező Tom Ferris, IT-biztonsággal foglalkozó kutató elküldte számukra az általa fellelt hiba részleteit.

Mike Schroepfer, a Mozilla mérnökigazgatója közölte, hogy a Firefox és a Mozilla szoftvereinek a nemzetközi domainnevek kezelésével gyűlt meg a baja (International Domain Names – IDN). Az alapítványnak a sebezhetőség kiiktatása végett kiadott patch-e az ilyen webcímek támogatását szünteti meg; a fejlesztők szerint azonban ez csupán egy ideiglenes javítás, és már dolgoznak a végleges patch-en, amely megszünteti a támadási felületet és az IDN-t is újfent használhatóvá teszi. A nemzetközi domainnevek kezelése egyébként manuálisan is kiiktatható (lásd a korábbi hírünket).

Cselekedni pedig szükségszerű, mivel a napokban kiderült, hogy már terjed az Internet „sötétebb” részein a Firefox hiba kihasználásának módja – az IT-biztonsággal foglalkozó kutatók közül ketten is ráakadtak ennek a nyomára. Igaz, még mindig nem találtak arra utaló jeleket, hogy már valaki felhasználta volna a tudást, ám egy ilyen esemény most már valóban bármikor bekövetkezhet, tehát érdemes patch-elni.

Szintén ide tartozó hír, hogy a Mozilla Foundation FTP site-ján megjelent a legújabb, ott 1.6a1-nek titulált Firefox, amely nyilvánvalóan egy tesztváltozat. A Windows-ra, Mac OS X-re és Linuxra is elérhető szoftver letölthető a Terminal Download adatbázisából (is). További információnk egyelőre nincs erről a verzióról.