Миша Шпигельмок и Эндрю Убилсои в ходе хакерской конференции ToorCon продемонстрировали возможность выполнения произвольных операций на удалённом компьютере через ещё не пропатченную уязвимость в браузере Firefox.
Как сообщает CNET News, проблема связана с особенностями обработки браузером кода JavaScript. Для получения несанкционированного доступа к компьютеру жертвы злоумышленнику необходимо вынудить пользователя открыть в Firefox сформированную специальным образом веб-страницу.
Уиндоу Снайдер, отвечающая за развитие стратегии безопасности программных продуктов сообщества Mozilla.org, после просмотра демонстрации взлома заметила, что проблема действительно может существовать. По словам Снайдер, по всей видимости, то, что описывают хакеры, является вариантом старой атаки, и на разработку соответствующей заплатки может уйти достаточно много времени. Снайдер также выразила беспокойство по поводу того, что обнародованная информация может быть использована для проведения реальных нападений.
Между тем, согласно заявлениям участников конференции ToorCon, в Firefox присутствуют не менее трёх десятков непропатченных дыр. Однако раскрывать данные о них хакеры не намерены. Кстати, недавно проведённая проверка браузера Firefox при помощи анализатора Klocwork K7 показала, что в программном коде этого продукта содержатся 655 багов и 71 потенциальная уязвимость. Вместе с тем, по результатам исследования, проведённого компанией Symantec, программисты Mozilla наиболее оперативно устраняют дыры в своём браузере. Так, заплатка для той или иной уязвимости в Firefox появляется в среднем через один день после публикации информации о проблеме. Для сравнения, для Internet Explorer данный показатель составляет девять дней.