Компания Mozilla подтвердила существование критической уязвимости в своем браузере Firefox 3.6. Информация о существовании программной “дыры” в этом популярном приложении появилась еще в прошлом месяце в инструкции по безопасности, распространенной датской фирмой Secunia. Также стало известно, что патч для данной уязвимости уже включен в новую версию браузера Firefox за номером 3.6.2, выпуск которой намечен на 30 марта. Бета-версия нового браузера уже доступна для загрузки.

В середине февраля исследователь Евгений Легеров, наш соотечественник и основатель компании InteVyDis, специализирующейся на проблемах безопасности программного обеспечения, представил действующий эксплойт, позволяющий дистанционно запускать произвольный код на компьютерах с браузером Firefox 3.6. Причем, данное средство атаки, включенное в дополнение VulnDisco для фреймворка под названием Immunity CANVAS, использовало для проникновения в систему именно указанную уязвимость.

Тем не менее, Mozilla поначалу опровергала существование критической уязвимости в своем браузере Firefox 3.6, ссылаясь на то, что она не получила никакой подробной информации о предполагаемой ошибке. Это дало повод некоторым экспертам обвинить Secunia в распространении ложных сведений. Однако в недавнем сообщении в фирменном блоге Mozilla в конце концов назвала вещи своими именами и признала существование “дыры” в своей главной и самой известной разработке.

Источник: ferra.ru