Újabb kritikus – ún. nulladik napi, azaz korábban nem ismert és ezért még szabadon kihasználható – biztonsági rés ronthatja a Firefox böngésző renoméját. Tegnap a San Diegó-i ToorCon hackerkonferencián két szakember közösen beszélt arról a JavaScript-hibáról, amelynek köszönhetően támadók weboldalakon keresztül vehetik át az irányítást a felhasználó számítógépe felett. A sebezhetőség a Windowsra, Mac OS X-re és Linuxra írt verziókban egyaránt megtalálható.

„Mindenki tudja, hogy az Internet Explorer nem túl biztonságos, de a Firefox is igen sebezhető” – mondta az előadók egyike, Mischa Spiegelmock, aki az előadásban bemutatta a hiba kiaknázáshoz szükséges programkód legfontosabb részeit is. Spiegelmock szerint a hiba alapjaiban érinti a Firefox JavaScript-értelmezőjét. A böngészőben a JavaScript-implementáció egy „teljes katyvasz”, amelyet „lehetetlen patchelni” – mondta.

A Firefoxot fejlesztő Mozilla Corporation nem volt elragadtatva attól, hogy a hackerek nyilvánosságra hozták a valós támadásokban is felhasználható kódot, de azt a prezentáció alapján elismerték: a bug valódinak tűnik. „Elegendő információt közöltek ahhoz, hogy egy támadó reprodukálhassa a kódot. Ez nem szerencsés, mert veszélybe sodorja a felhasználókat – bár úgy látszik, ez is volt a céljuk” – mondta a CNET News.com-nak Window Snyder biztonsági főnök. Az adatok azonban számukra is elegendőek lehetnek a javítás elkészítéséhez – tette hozzá, miközben azt ő is elismerte, hogy ha a JavaScript virtuális gépben található a hiba, hosszabb időre lesz szükség a patch elkészítéséhez.

A hackerek azt állították, hogy további 30 befoltozatlan Firefox-sebezhetőségről tudnak, de ezeket nem fogják nyilvánosságra hozni.