Firefox 3.6 zero day exploit verschijnt in het wild
Gepubliceerd: Zaterdag 20 februari 2010
Auteur: Sander van der Meijs
Een exploit voor een lek in de nieuwste Firefox op Windows XP en Vista is beschikbaar gesteld door de Russische beveiliger Intevydis.
Intevydis heeft het lek al twee jaar geleden gevonden, maar begin deze maand heeft het bedrijf de exploit beschikbaar gemaakt in hun exploit toolkit. Van Evgeny Legerov, de man achter het bedrijf, is bekend dat hij het niet zinvol vindt om samen te werken met software ontwikkelaars. Onlangs organiseerde hij nog de 0-day weken, waarin hij lekken publiceerde zonder dat eerst met de ontwikkelaars te overleggen.
Nu heeft hij dus een exploit beschikbaar gemaakt voor Firefox 3.6, en aangezien het lek al twee jaar oud is, zal de exploit waarschijnlijk ook werken met oudere versies. Tot nu toe heeft de exploit nog niet heel erg in het oog gelopen, onder andere doordat de aankondiging ergens achteraf gebeurde en niet op het wat zichtbaardere blog van Legerov, waar toch heel wat exploits, zero days en andere 'pret' voorbij komen.
Buitensporig veel crashes
Mozilla heeft nog geen officiƫle verklaring uitgebracht. Secunia klassificeert het lek als 'highly critical', maar geeft verder geen bijzonderheden. Volgens een analyse van het Extraexploit blog crashte Firefox 3.6 op 12 en 13 februari buitensporig veel. En daarbij moet worden opgemerkt dat leden van de redactie op die dagen zijn overgestapt op een andere browser, aangezien er met Firefox nauwelijks te werken viel. Maar of die crashes werkelijk iets te maken hebben met de exploit is nog niet duidelijk.
Legerov zelf meldt dat het een heel mooie bug is. Het was een heel interessante uitdaging om hem te vinden en uit te buiten. Aan de exploit moet nog wat geschaafd worden, maar hij werkt al heel betrouwbaar.
Bron: Techworld
