Firefox-hull påstått umulig å fikse

Javascript implementeres så dårlig i Firefox at nettleseren ikke kan reddes, hevder to hackere.

OBS: Etter at denne artikkelen ble publisert, er det kommet fram materiale som tyder på at presentasjonen til de to hackerne ikke var alvorlig ment. Se dette dementiet fra Mischa Spiegelmock.

Her er den opprinnelige artikkelen:

I en presentasjon på hackersamlingen ToorCon i San Diego i helgen, hevdet to selvbeskrevne hackere, Mischa Spiegelmock og Andrew Wbeelsoi, at det er en kritisk og nærmest ureparerbar sårbarhet i den populære gratis nettleseren Firefox.

Sårbarheten skal skyldes en ubehjelpelig implementering av Javascript.

– Implementeringen er et eneste kaos, og er umulig å patche, sa Spiegelmock i sitt innlegg.

Det innebærer at PC-en til en Firefox-bruker vil kunne kapres bare ved å besøke en ondsinnet nettside med Javascript som utnytter svakhetene i nettleseren.

Siden det er Firefox som er problemet, spiller det ingen rolle om PC-en kjører Windows, Linux og Mac OS.

Spiegelmock og Wbeelsoi viste et eksempel på kode som et ondsinnet nettsted kunne bruke for å ta kontroll over sine gjesters PC-er.

Ifølge News.com har ikke Spiegelmock og Wbeelsoi underrettet Mozilla.org, stiftelsen som står bak gratis nettleseren, om sårbarheten. Stiftelsens sikkerhetssjef Window Snyder så presentasjonen i et videoopptak. Hun reagerte mot at hackerne ikke fulgte regler og normer i åpen kildekodemiljøet, og at de utnyttet et åpent forum for å vise skadelig kode. Hun sa Mozilla må undersøke sårbarheten nærmere.

– Dersom sårbarheten ligger i den virtuelle maskinen for Javascript, vil det kunne ta tid å fikse den, advarte hun.

Hackerne hevder å ha avdekket ytterligere et trettitalls sikkerhetshull i Firefox, som de akter å holde for seg selv inntil videre. Mozilla-stiftelsen tilbyr 500 dollar per sikkerhetshull, men det frister tydeligvis ikke.

Til toppen