Критическая уязвимость была представлена одним из участников американского соревнования Pwn2Own. По условиям этого же соревнования, все участники, обходящие системы безопасности браузеров, не имеют права разглашать технические данные об уязвимости и не имеют права сообщать о ней в интернете до тех пор, пока производитель не устранит ее.
В Mozilla заявили, что уязвимость и впрямь носит критический характер и ее эксплуатация может привести к выполнению произвольного кода на компьютере-жертве. Сообщается, что в тестовой версии Firefox уязвимость уже ликвидирована, но в производственной все еще присутствует.
Критическую уязвимость обнаружил российский исследователь Евгений Легеров, который еще около месяца назад представил свои данные на форуме Immunity. До сих пор он не публиковал код и вначале даже отказался предоставить его на рассмотрение Mozilla.
Впрочем, в Mozilla заявили, что российский специалист предоставил им «значимые детали и подробную информацию для анализа».
Ожидается, что исправление будет доступно 30 марта в версии Firefox 3.6.2 (сейчас оно есть в бета-версии этого браузера).
Источник: bagnet
|
