Komoly biztonsági hibák a Mozillában

Nem a legfrissebb változatokban került bele a két sebezhetőség: a Mozilla Foundation nyilatkozata szerint eredetük még a régi, ˝Netscape-es˝ időszakra nyúlik vissza. Chris Hofmann, a fejlesztői közösség mérnökigazgatója a következőket mondta: ˝A kód körülbelül hat-hét éve létezik, így az összes komoly hibát kijavították már a Netscape 4.0-ban. Jó ideje nem találkoztunk semmi komolyabb problémával, ezért is ért meglepetésszerűen minket [az új sérülékenység].˝

A tanúsítványkezelési hibák nem a legjobbkor jöttek a Mozillának (persze az ilyen események sosem jöhetnek jó időben), ugyanis az alternatív böngészők a Microsoft Internet Explorerében felfedezett és sokáig ki nem javított biztonsági rés miatt nyerhettek teret az utóbbi egy hónapban, mint a szoftverfejlesztő gigász termékénél biztonságosabb megoldások. Ugyan nem vitatott az a tény, hogy a nem microsoftos browserek fejlesztői komoly figyelmet fordítanak a biztonság kérdésére (ez az egyik oka annak, hogy kevesebb hiba jelenik meg velük kapcsolatban), ám az sem kérdéses, hogy az Internet Explorert sokkal többen használják, s elterjedtsége voltaképpen predesztinálja a biztonsági rések gyakoribb felfedezését.

Visszatérve a konkrét hibákra: az első a Bugtraq biztonsági levelezőlistán jelent meg, s Emmanouel Kellinis nevéhez fűződik a megtalálása. Kihasználásával egy website tulajdonosa becsaphatja az oda ellátogató internetezőket, elhitetve velük, hogy egy biztonságos weboldalon járnak. A második hibát a Mozilla saját Bugzilla hibakövető rendszerében publikálták, ez utóbbi denial of service támadást tesz lehetővé.

A fejlesztők egyelőre nem jutottak tűlőre abban a kérdésben, hogy egy különálló patch-et adjanak-e ki a böngészőhöz, vagy jelentessenek meg egy új változatot – bárhogy alakul is, egy héten belül megkapjuk a megoldást. Legalábbis az ígéretek szerint.