Firefox Yamalar Sıfır Gün, Hacking Yarışma Hataları

Sadece günler Bir bilgisayar korsanının Firefox tarayıcısına saldırmak için kullanabileceği bir kod yayınladıktan sonra, Mozilla geliştiricilerinin bir çözümü var.

Onlar, kodun Milw0rm'a gönderilmesinden iki gün sonra, öğleden sonra tarayıcılarının güncellenmiş 3.0.8 sürümünü yayınladılar. Web sitesi ve düzeltmeden daha önce söz verildi.

Bu güncellemede, geçen hafta TippingPoint adlı araştırma şirketine bildirilen bir hatayı, CanSecWest güvenlik konferansında şirketin Pwn2Own yarışmasını kazanmak için kullanan bir bilgisayar korsanı tarafından düzeltildi. Bu, sadece 15.000 dolar nakit ve ödül olarak bir dizüstü bilgisayar talep etmek için ilk ismini Nils'e veren bir Alman hacker tarafından kullanılan üç kişiden biriydi.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Mozilla geliştiricileri, sürümü "sıfır gün" istismar olarak bilinen saldırı kodu sayesinde "yüksek öncelikli bir ateşli güvenlik güncellemesi" olarak nitelendirmişti. Hızlı çalışma, testin tamamlanması için önümüzdeki haftaya kadar beklemelerini bekledikleri için ödenmişti.

Mozilla, hataların her ikisinin de "kritik" olduğunu söylüyor.

Nils 'hatası, bir yöntem olarak bilinen bir Firefox yordamında bir hatadan yararlanıldı _moveToEdgeShift. Mac OS X'te çalışan tarayıcıyı kesmek için kullandı ancak diğer platformları da etkileyebilir.

Tarayıcının XSL (Genişletilebilir Stil Sayfası Dili) stil sayfalarını işleme biçimiyle ilgili olan diğer kusur Firefox'u etkiler. Tüm işletim sistemlerini ve ayrıca Seamonkey Internet uygulamasını da etkiler.

Bu hataların ikisi de, bir kurbana kötü niyetli kodlanmış bir Web sayfasını görüntülemesine yol açarak tetiklenebilir; bu da saldırganın bir kurbanın sistemine izinsiz bir yazılım yüklemesine izin verir. Bu tür bir Web tabanlı kötü amaçlı yazılım, bir sürücü tarafından indirilen, son yıllarda giderek daha popüler hale gelmiştir.

Firefox'un bir sonraki güncellemesi, 3.0.9, 21 Nisan'da yayınlanacak.