תיקוני פיירפוקס אפס יום, פריצה תחרויות באגים

רק ימים לאחר ששוחרר קוד פורץ הקוד שניתן להשתמש בו כדי לתקוף את דפדפן פיירפוקס, מפתחי Mozilla יש לתקן.

הם שחררו גרסה מעודכנת 3.0.8 של דפדפן הדגל שלהם ביום שישי אחר הצהריים, יומיים בלבד לאחר קוד פורסם על Milw0rm אתר אינטרנט וקודם מהמתקן הובטח.

עדכון זה מתקן גם באג שנחשף לחברת המחקר TippingPoint בשבוע שעבר על ידי האקר שהשתמש בו כדי לזכות בתחרות Pwn2Own של החברה בכנס האבטחה של CanSecWest. זה היה אחד מתוך שלושה שהשתמש בהם האקר גרמני, שנתן רק את שמו הפרטי, נילס, לתבוע סכום של 15,000 דולר במזומן ובמחשב נייד.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

מפתחי Mozilla תיארו את המהדורה כ"עדכון אבטחה בעל חשיבות גבוהה "הודות לקוד ההתקפה, הידוע כ"ניצול יום אפס". העבודה המהירה השתלמה, כפי שהם ציפו שזה ייקח עד תחילת השבוע הבא כדי להשלים את הבדיקה.

Mozilla אומר שני החרקים הם "קריטיים".

פגם נילס ניצל באג בשגרת פיירפוקס המכונה שיטה _moveToEdgeShift. הוא השתמש בו כדי לפרוץ את הדפדפן פועל ב- Mac OS X, אבל זה יכול להשפיע על פלטפורמות אחרות גם כן.

הפגם השני, אשר קשור לאופן שבו הדפדפן מעבד גליונות סגנונות של XSL (Extensible Stylesheet Language), משפיע על Firefox כל מערכות ההפעלה, וגם משפיע על יישום האינטרנט Seamonkey.

שני באגים אלה יכול להיות מופעלות על ידי tricking הקורבן לתוך צפייה בדף אינטרנט מקודד באופן זדוני, אשר לאחר מכן היה לאפשר לתוקף להתקין תוכנה לא מורשית על מערכת הקורבן. סוג זה של תוכנות זדוניות מבוססות אינטרנט, הנקראות הורדת כונן, הפך פופולארי יותר בשנים האחרונות.

העדכון הבא של Firefox, 3.0.9, צפוי להשתחרר באפריל 21.