Computerworld News Service: Få dage efter en hacker offentliggjorde kode, der kan bruges til at angribe Firefox-browseren, har Mozilla-udviklerne allerede en opdatering klar.
Den seneste opdatering til version 3.0.8 af Firefox blev udgivet fredag, kun to dage efter hackerkoden blev offentliggjort på websitet Milw0rm.
Denne opdatering retter også en sårbarhed, der blev afsløret til analysefirmaet TippingPoint i sidste uge af en hacker, som havde brugt den til at vinde TippingPoints Pwn2Own-konkurrence under sikkerhedskonferencen CanSecWest.
Dette var en af de tre sårbarheder, som blev udnyttet af en tysk hacker, som kun opgav sit fornavn, Nils, til at vinde to præmier på næsten 85.000 kroner (15.000 USD) i kontanter samt en bærbar computer.
Mozillas udviklere beskrev opdateringen som en "brandsluknings-sikkerhedsopdatering med høj prioritet" på grund af angrebskoden kendt som en "zero day-exploit."
Den hurtige reaktion kunne betale sig, da man ellers forventede, at det ville tage indtil først på denne uge at blive færdig med at teste opdateringen.
Ifølge Mozilla er begge fejl "kritiske."
Fejl i _moveToEdgeShift
Nils' sårbarhed udnyttede en fejl i en Firefox-rutine kendt som _moveToEdgeShift.
Denne metode brugte han til at hacke browseren på Mac OS X, men den kan lige så vel bruges på andre platforme.
Den anden sårbarhed har at gøre med måden, hvorpå browseren benytter XSL-stylesheets (extensible stylesheet language), og påvirker både Firefox på alle styresystemer samt internet-programpakken SeaMonkey.
Begge disse sårbarheder kan udnyttes ved at narre et offer til at besøge et skadeligt website, som således vil gøre det muligt for en hacker at installere uautoriseret software på offerets computer.
Denne form for webbaseret malware kaldes et drive-by-download og er blevet mere og mere udbredt i de senere år.
Den næste opdatering af Firefox til version 3.0.9 forventes at udkomme 21. april.
Oversat af Thomas Bøndergaard
