Russiske Intevydis skal ha utviklet angrepskode som blant annet utnytter en til nå ukjent sårbarhet i Mozillas Firefox 3.6 for Windows. Denne koden skal være inkludert i VulnDisco Pack Professional, en samling angrepskoder, som det russiske selskapet selger. Disse kan brukes i et «innbruddsverktøy» som kalles Immunity Canvas.
Ifølge det danske sikkerhetsselskapet Secunia kan sårbarheten utnyttes til å kjøre vilkårlig kode på systemet. Det kan også være at andre versjoner av Firefox er berørt-
Firefox-brukerne anbefales nå å unngå upålitelige eller ukjente lenker og nettsteder.
Blant de første referansene til denne sårbarheten, samt til lignende sårbarheter i Lotus Notes 8.5 og Realplayer 11, finnes i dette forumet.
Det skal ha blitt registrert ekstra mange tilfeller av at Firefox krasjet den 12. og 13. februar i år. Enkelte mistenker at dette kan skyldes testing av angrepskoden på ulike nettsteder.
Evgeny Legerov, grunnleggeren av Intevydis, uttalte tidligere i år at hans selskap ikke lenger i det stille vil varsle programvareleverandører om sårbarheter det måtte finne. Årsaken skal først og fremst være manglende belønning for innsatsen. Mozilla er dog blant programvareleverandørene som ofte gir penger til sikkerhetsforskere som har funnet alvorlige sårbarheter stiftelsens programvare.
Legerov lovet samtidig å avsløre en rekke sårbarheter i serverprogramvare, ikke minst databasesystemer. Siden den tid har mange slike sårbarheter blitt beskrevet i denne bloggen.
Les også:
- [19.03.2010] Skal fjerne kjent sårbarhet i Firefox
- [12.01.2010] Avslører sårbarheter uten å si fra først
- [04.01.2008] Alvorlig sårbarhet funnet i RealPlayer