Noodpatch voor Firefox na publicatie aanvalscode
Gepubliceerd: Donderdag 26 maart 2009
Auteur: Andreas Udo de Haes
Mozilla komt met een noodpatch nadat een hacker een proof-of-concept heeft gepubliceerd om een kritiek lek in Firefox te misbruiken.
Het kritieke lek is door security-onderzoeker Guido Landi de 'Firefox XSL Parsing 'root' XML Tag Remote Memory Corruption Vulnerability' gedoopt. Het stelt derden in staat om kwaadaardige XML-code in de browser uit te voeren, waarna drive by malware op het systeem kan worden geïnstalleerd.
Een 'mislukte aanval' kan nog altijd resulteren in een crash van de browser. Zowel Firefox op Windows, Mac en Linux zijn kwetsbaar.
Chrome ongeschonden
Mozilla erkent de kwetsbaarheid als 'kritiek' en haast zich inmiddels om een prioriteitspatch te fabriceren. Die komt naar verwachting begin volgende week uit met Firefox 3.0.8.
Vorige week werden er op de CanSecWest conferentie vier kwetsbaarheden gedemonstreerd voor Safari, Firefox en IE8. Google Chrome doorstond de hackerswedstrijd ongeschonden.
