Na początku lutego Jewgienij Legerow poinformował o odkryciu krytycznej luki w przeglądarce Mozilla Firefox 3.6. Zaczyna być jednak coraz bardziej wątpliwe czy dziura rzeczywiście istnieje.
Legerow twierdzi, że podatność na przepełnienie bufora występuje w windowsowej wersji Firefoksa 3.6 i że udało mu się ją wykorzystać za pomocą exploitu uruchomionego na Windows XP i Viście. Według niego dzięki luce można przejąć zdalnie kontrolę nad komputerem ofiary. Niestety mimo upływających dni Legerow nie przedstawił żadnych szczegółów na temat luki ani kodu typu proof-of-concept. Mozilla informuje, że próbowała się z nim skontaktować ale bezskutecznie. Mimo to firma Secunia opublikowała
poradnik dotyczący luki i określiła ją jako wysoce krytyczną.
Nie wiadomo dlaczego Legorow zwleka z publikacją informacji o luce. Pojawiły się podejrzenia, że może być on przestępcą, który chce najpierw sprzedać informacje o dziurze osobie, która zapłaci za nie najwięcej. Legerow ma jednak oficjalnie działającą firmę Intevydis i takie podejrzenia wydają się być bezpodstawne. Co ciekawe w dniach 12 i 13 lutego zwiększyła się liczba zawieszeń Firefoksa co może wskazywać na testy eksploitu. To jednak też wydaje się mało prawdopodobne gdyż testy te musiałyby być prowadzone na bardzo dużą skalę. Można też podejrzewać, że Legerow chciał po prostu przyciągnąć prasę do swojej osoby i swojej firmy Intevydis sprzedającej plugin VulnDisco do aplikacji Immunity Canvas służącej do testów penetracyjnych. Ten właśnie plugin ma rzekomo zawierać exploit na Firefoksa.
Na swoim blogu Mozilla informuje, że Legerow skontaktował się z nią i przedstawił informacje wystarczające do odtworzenia błędu i jego analizy. Dziura została już załatana a obecnie trwają testy. Nowa wersja Firefoksa, oznaczona numerkiem 3.6.2, zostanie wydana 30 marca. Mozilla zachęca do jej instalacji gdy tylko zostanie wydana. Tymczasem użytkownicy mogą zabezpieczyć się instalując wersję
beta.
CentrumXP.pl