segunda-feira, 22 de março de 2010

Mozilla confirma existência de bug crítico no Firefox 3.6

Falha foi detectada por pesquisador de segurança russo; correção está prevista para 30/3, mas versão beta 3.6.2 já traz solução.


A Mozilla confirmou na quinta-feira (18/3) a existência de uma vulnerabilidade crítica na mais nova versão do Firefox, e afirmou que consertará a falha no fim de março.

Apesar de a correção não ser adicionada ao Firefox antes do concurso hacker Pwn2Own, previsto para a semana que vem, os pesquisadores não terão permissão para explorar a falha, segundo os organizadores do concurso.

"A vulnerabilidade foi definida como crítica e poderia resultar na execução de código remoto por um invasor", reconheceu a Fundação Mozilla em nota publicada em seu blog de segurança na quinta-feira. "A vulnerabilidade já foi solucionada pelos desenvolvedores. Estamos atualmente aplicando testes de certificação de qualidade à correção."

O Firefox 3.6, lançado pela Mozilla em janeiro, é afetado pela falha, e a correção virá na versão 3.6.2, que tem data de lançamento prevista para 30 de março.

Colaboração
O bug foi descoberto pelo pesquisador russo Evgeny Legerov um mês atrás, em uma mensagem publicada em um fórum patrocinado pela Immunity, uma empresa de desenvolvimento da Flórida (EUA) que é mais conhecida pelo framework de teste de invasão Canvas. Legerov trabalha para a empresa Intevydis, de Moscou, que produz o add-on VulnDisco para o Canvas.

Legerov não publicou o código-fonte, e no começo recusou-se a fornecer detalhes à Mozilla, de acordo com uma nota publicada em 4/3 em seu blog. "Eu tenho ignorado e-mails... da Mozilla, por favor não gaste mais seu tempo nem o meu", escreveu. O blog foi apagado, mas ainda está disponivel no cache do Google.

Comentários de usuários no site da empresa dinamarquesa de segurança Secunia, que publicou um alerta de vulnerabilidade sobre o caso, questionam os motivos que levaram Legerov a fazer o anúncio, enquanto outros perguntam por que a Secunia não chegou a testar a falha para conformar se era ou não um boato.

Na quinta-feira, a Mozilla disse que mais tarde Legerov enviou "detalhes suficientes para reproduzir e analisar a questão".

Até que a correção de 30 de março seja liberada, os usuários podem atualizar o Firefox para a versão beta 3.6.2, que inclui a correção.

0 comentários:

Postar um comentário