Securitate IT

Se pare ca hacker-ul Georgi Guninski a raportat vulnerabilitatea catre Mozilla Foundation in data de 6 decembrie anul trecut, dupa care a implementat-o si a postat-o. Mozilla a dezvoltat un patch pentru acest bug odata cu lansarea browser-ului Firefox 1.5.0.1. Compania a clasificat vulnerabilitatea ca fiind moderata si a declarat ca aceasta poate afecta memoria browser-ului urmand a fi exploatata pentru rularea codurilor arbitrare. Metoda se numeste "QueryInterface" si ataca obiectele Location si Navigator ale browser-ului permitand unui atacator sa preia controlul sistemului care ruleaza Firefox 1.5, dupa ce pacaleste utilizatorul sa acceseze o pagina Web codata malitios.

Hacker-ul Aviv Raff a criticat echipa Mozilla in blog-ul sau pentru ca a subestimat aceasta vulnerabilitate. Se pare ca nu este prima data cand se intampla acest lucru, deoarece fondatorii grupului open-source au mai primit reactii negative pentru ca nu au acordat suficienta importanta vulnerabilitatilor detectate in soft-urile Mozilla.

Reprezentanti ai companiei au declarat ulterior ca in momentul in care au lansat patch-ul nu erau informati in legatura cu aceste posibilitati, si din acest motiv au clasificat vulnerabilitatea ca fiind moderata. Mozilla si-a
rectificat atitudinea anuntand ca bug-ul va fi considerat critic datorita capacitatii acestuia de a rula un cod la distanta.

Firefox 1.5 este singura versiune a browser-ului care se confrunta cu aceasta vulnerabilitate, variantele mai vechi nefiind predispuse la un astfel de atac. In plus, majoritatea utilizatorilor de Firefox 1.5 si-au procurat deja
patch-ul, datorita capabilitatilor de updatare automate de care dispune browser-ul.