androide

Patch di Firefox Zero-day, Hacking Contest Bug

Hacking Browsers - Setup and Debug JavaScriptCore / WebKit

Hacking Browsers - Setup and Debug JavaScriptCore / WebKit
Anonim

Solo giorni dopo che un hacker ha rilasciato un codice che potrebbe essere utilizzato per attaccare il browser Firefox, gli sviluppatori di Mozilla hanno una soluzione.

Hanno rilasciato una versione 3.0.8 aggiornata del loro browser di punta venerdì pomeriggio, solo due giorni dopo che il codice è stato inviato al Milw0rm

Questo aggiornamento risolve anche un bug divulgato alla società di ricerche TippingPoint la scorsa settimana da un hacker che lo ha utilizzato per vincere il concorso Pwn2Own della compagnia alla conferenza di sicurezza CanSecWest. E 'stato uno dei tre utilizzati da un hacker tedesco, che ha dato solo il suo nome, Nils, per richiedere $ 15.000 in contanti e un laptop come premio.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Gli sviluppatori di Mozilla hanno descritto il rilascio come un "aggiornamento di sicurezza firedrill ad alta priorità" grazie al codice di attacco, noto come exploit "zero day". Il lavoro rapido è stato ripagato, come si aspettavano che fosse necessario fino all'inizio della prossima settimana per completare i test.

Mozilla dice che entrambi i bug sono "critici".

Il difetto di Nils ha sfruttato un bug in una routine di Firefox nota come metodo _moveToEdgeShift. L'ha usato per hackerare il browser in esecuzione su Mac OS X, ma potrebbe influire anche su altre piattaforme.

L'altro difetto, che ha a che fare con il modo in cui il browser elabora i fogli di stile XSL (Extensible Stylesheet Language), influisce su Firefox tutti i sistemi operativi e influenza anche l'applicazione Internet Seamonkey.

Entrambi questi bug potrebbero essere attivati ​​ingannando una vittima nella visualizzazione di una pagina Web codificata maliziosamente, che consentirebbe a un utente malintenzionato di installare software non autorizzato sul sistema di una vittima. Questo tipo di malware basato sul Web, chiamato download drive-by, è diventato sempre più popolare negli ultimi anni.

Il prossimo aggiornamento di Firefox, 3.0.9, è previsto per il rilascio il 21 aprile.