De laatste patch is 3.0.19, waar Mozilla sinds deze week builds van produceert. De update moet op 30 maart uitkomen. Daarna brengt de open source-stichting geen security- en stabiliteitspatches meer uit voor die oudere tak van zijn webbrowser. Dit meldt Mozilla op de Wiki-pagina voor deze aankomende update.

Aanvankelijk wilde Mozilla enkele maanden geleden al de stekker uit Firefox 3.0 trekken. Het vele werk aan Firefox 3.6 heeft daar echter de klad in gebracht, nadat de ontwikkeling van 3.5 ook al is uitgelopen.

0-day gat dichten

Op 30 maart moeten ook de nieuwste patches uitkomen voor de 3.5- en 3.6-aftakkingen, respectievelijk 3.5.9 en 3.6.2. Laatstgenoemde dicht een lek waarvoor al een maand exploitcode beschikbaar is.

Mozilla klaagde dat het de ontdekker van dit 0-day gat niet kon bereiken, en het gat dus bij gebrek aan details niet kon dichten. De ontdekker, security-expert Evgeny Legerov heeft inmiddels contact opgenomen. Het aankomende Firefox 3.6.2 dicht dit kritieke beveiligingslek. Kwaadwillenden kunnen daarmee malware uitvoeren op pc's met Firefox.

Upgrade-popup

Enkele maanden na het uitbrengen van Firefox 3.5 heeft Mozilla al Firefox-gebruikers geattendeerd de voorgaande versie te verlaten. Dit met het oog op de binnenkort vervallende support voor 3.0, die eind deze maand dus écht verloopt.

In dat popup-venster voor de upgrade heeft Mozilla de 3.0-gebruikers drie opties geboden: 3.5 meteen downloaden, of wegklikken met de opties 'Later' of 'Nooit'. Opmerkelijk genoeg komt de herinnering later opnieuw, ook als voor 'Nooit' wordt gekozen. “We sturen later opnieuw een herinnering. Maar dit kan wel weken tot maanden duren”, aldus Mozilla op de site voor ontwikkelaars.

Eenzelfde popup-venster krijgen gebruikers van 3.5 nu voorgeschoteld. Mozilla dringt er bij hun op aan te upgraden naar 3.6. Versie 3.0 is in juni 2008 uitgekomen, 3.5 in juni vorig jaar en 3.6 in januari dit jaar.