Code Firefox-kwetsbaarheid lekt uit
Een Russische beveiligingsonderzoeker zegt dat hij aanvalscode heeft vrijgegeven voor Firefox. Het zou een kritieke kwetsbaarheid in de nieuwste versie van de browser treffen.
Het gaat om een zogenaamde zero-day-kwetsbaarheid. Dat is een zwakke plek in de software die nog niet eerder werd ontdekt. Zo kunnen aanvallers van op afstand gevaarlijke code uitvoeren op de pc’s van hun slachtoffers.
Aan The Register vertelt Evgeny Legerov van het Russische Intevydis dat hij de zwakke plek recent heeft toegevoegd als extensie bij Immunity Canvas, een programma voor beveiligers om software te controleren. Bij Firefox 3.6 zou dit standaard werken onder XP en Vista.
Mozilla, de maker van de browser, heeft intussen wel een update uitgevoerd naar Firefox 3.8, al beweert Legerov dat die update het lek niet aanpakt.
Subtiele hint
Mozilla zelf kan het nieuws over de kwetsbaarheid niet bevestigen. Het benadrukt dat het de hulp van beveiligingsexperts waardeert, maar vraagt om samen te werken via het reguliere proces waarbij lekken en problemen worden gemeld. Een subtiele hint naar het Russische bedrijf om lekken niet openbaar te maken voordat ze worden opgelost.
Het is een van de zeldzame keren dat een zero-day-kwetsbaarheid voor Firefox circuleert. Legerov heeft er zelf baat bij door het niet niet eerst bij Mozilla te melden. Wie genoeg geld en technische kennis heeft, kan zijn securitypakket kopen en de zwakke plek zelf gaan misbruiken.
