Computerworld News Service: Mindre end 48 timer efter de første rapporter om en kritisk fejl i Firefox kunne Mozilla udsende en nød-rettelse, der tog hånd om problemet.
Mozilla har nu frigivet Firefox 3.6.12 og Firefox 3.5.15 for at fjerne den sårbarhed, der allerede var blevet udnyttet ved hjælp af ondsindet kode, som i alt hemmelighed var blevet plantet på Nobelprisens hjemmeside.
Mozilla bekræftede fejlen tirsdag og fortalte, at man arbejdede på en rettelse, uden dog at tilbyde flere detaljer.
Nu fortæller virksomheden, at sårbarheden fandtes i Windows, Mac OS X og Linux-versionerne af Firefox 3.6 og den ældre Firefox 3.5.
Firefox 4 har derimod ikke været i fare, fortæller sikkerhedsingeniør Daniel Veditz i en af kommentarerne til det blogindlæg, hvor Mozilla bekræfter fejlen:
"Betabrugerne af Firefox 4 kan føle sig sikre indtil videre. Den underliggende, problematiske kode eksisterer, men en række andre kodeændringer, der er gennemført siden Firefox 3.6, beskytter os tilsyneladende fra sårbarheden."
Mozilla giver Morten Krokan, informationschef fra Telenor Norge, æren for at havde fundet og oplyst Mozilla om fejlen.
Telenor har i to blogindlæg på TSOC, der er er en afdeling i Telenor, der står for sikkerhedsovervågning af kundernes netværk, forklaret, hvordan besøgende på Nobelprisens hjemmeside er blevet omdirigeret til en taiwanesisk angrebs-server, som udsendte et JavaScript-baseret exploit, der forsøgte at plante en trojaner på offerets Windows-pc.
Den trojanske hest var designet til at installere endnu mere angrebskode på de kompromitterede maskiner, og det skulle derefter bruges til at overtage kontrollen med computeren på hackerens vegne.
Tidligere onsdag fortalte det tyske sikkerhedsfirma Aviva, at trojanerens links til hackerens command-and-control-server var blevet afbrudt.
Aviva gav desuden udtryk for overraskelse over malwarens ustabilitet, og virksomheden undrer sig over, hvorfor hackeren i bund og grund har spildt en værdifuld 0-dags sårbarhed på en så dårligt skrevet kode.
"De cyberkriminelle anvender typisk [0-dags fejl] til malware, som de kan tjene penge på," forklarer Aviva.
Oversat af Marie Dyekjær Eriksen
