Alvorlig sårbarhet i nyeste Firefox

Angrepskode inkludert i russisk innbruddsverktøy.

Harald BrombachHarald BrombachNyhetsleder
22. feb. 2010 - 08:19

Russiske Intevydis skal ha utviklet angrepskode som blant annet utnytter en til nå ukjent sårbarhet i Mozillas Firefox 3.6 for Windows. Denne koden skal være inkludert i VulnDisco Pack Professional, en samling angrepskoder, som det russiske selskapet selger. Disse kan brukes i et «innbruddsverktøy» som kalles Immunity Canvas.

Ifølge det danske sikkerhetsselskapet Secunia kan sårbarheten utnyttes til å kjøre vilkårlig kode på systemet. Det kan også være at andre versjoner av Firefox er berørt-

Firefox-brukerne anbefales nå å unngå upålitelige eller ukjente lenker og nettsteder.

Blant de første referansene til denne sårbarheten, samt til lignende sårbarheter i Lotus Notes 8.5 og Realplayer 11, finnes i dette forumet.

Det skal ha blitt registrert ekstra mange tilfeller av at Firefox krasjet den 12. og 13. februar i år. Enkelte mistenker at dette kan skyldes testing av angrepskoden på ulike nettsteder.

Evgeny Legerov, grunnleggeren av Intevydis, uttalte tidligere i år at hans selskap ikke lenger i det stille vil varsle programvareleverandører om sårbarheter det måtte finne. Årsaken skal først og fremst være manglende belønning for innsatsen. Mozilla er dog blant programvareleverandørene som ofte gir penger til sikkerhetsforskere som har funnet alvorlige sårbarheter stiftelsens programvare.

Legerov lovet samtidig å avsløre en rekke sårbarheter i serverprogramvare, ikke minst databasesystemer. Siden den tid har mange slike sårbarheter blitt beskrevet i denne bloggen.

    Les også:

Les mer om:
Del

Kommentarsystemet er deaktivert

Kommentarsystemet leveres av en ekstern leverandør, og kan ikke lastes inn uten at informasjonskapslene er aktivert. Endre dine Personvern/cookies innstillinger for å aktivere kommentering.