Mozilla kan 0-day in Firefox 3.6 niet patchen
Gepubliceerd: Woensdag 24 februari 2010
Auteur: Sander van der Meijs
Het lek in Firefox waarvan onlangs een exploit is vrijgegeven, kan door Mozilla niet worden gepatcht, aangezien de details ontbreken.
Eerder deze week werd bekend dat Intevydis een exploit beschikbaar had gemaakt via hun exploit toolkit voor een zero-day lek in Firefox 3.6 op Windows XP en Vista, dat bij hen al twee jaar bekend was.
Evgeny Legerov, de man achter Intevydis die de laatste tijd vaker in het nieuws is vanwege het bekend maken van 0-days, beweerde dat het een erg mooie bug was, maar heeft de informatie blijkbaar niet gedeeld met Mozilla.
Hij staat op het standpunt dat het geen zin heeft om samen te werken met softwareontwikkelaars. Daarom deelt hij de lekken niet eerst met de ontwikkelaars voordat hij de exploits openbaar maakt.
Dat hij inderdaad niet samenwerkt met de ontwikkelaars wordt nu pijnlijk duidelijk. Op het Lucas Adamski van Mozilla Security schrijft op het Mozilla Security Blog dat hij zich bewust van is de melding, maar dat Mozilla het lek niet kan patchen omdat er geen details beschikbaar zijn. Mozilla heeft geprobeerd om contact op te nemen met Legerov, maar krijgt geen antwoord op zijn vragen.
Bron: Techworld
