Visszatáncoltak a Firefox-hackerek

Szombaton – amint arról beszámoltunk – a San Diegó-i ToorCon hackerkonferencián két előadó közös prezentációban beszélt arról a Firefox böngészőben található JavaScript-hibáról, amelynek köszönhetően támadók weboldalakon keresztül vehetik át az irányítást más felhasználók számítógépei felett. Az előadás során a sebezhetőség kihasználásához szükséges programrészleteket is bemutatták.

Az egyik előadó azonban most elismerte: túloztak és elferdítették a tényeket. Amint egyikük, Mischa Spiegelmock a böngészőt fejlesztő Mozilla Corporation számára küldött nyilatkozatában fogalmaz: „Sosem sikerült ezzel a programkóddal többet elérnem, mint hogy lefagyjon a böngésző és felzabálja a rendszer erőforrásait. Nem használtam más számítógépe feletti irányítás megszerzésére sem. Az előadásunk fő célja az volt, hogy szórakoztatóak legyünk. Minden érintettől elnézést kérek, és remélem, mindent tisztázni tudtam.”

Az előadást követően a Mozilla nem volt elragadtatva attól, hogy a hackerek nyilvánosságra hozták a valós támadásokban is felhasználható kódot. „Elegendő információt közöltek ahhoz, hogy egy támadó reprodukálhassa a kódot. Ez nem szerencsés, mert veszélybe sodorja a felhasználókat – bár úgy látszik, ez is volt a céljuk” – morgolódott akkor Window Snyder, a cég új biztonsági főnöke. Szerinte ugyanakkor az önleleplezés ellenére sem zárható ki, hogy a JavaScript-bug valóban veszélyes, és bár jelenleg ártalmatlannak tűnik, tovább vizsgálják.

A páros az előadásban azt is állította, hogy további 30, még befoltozatlan Firefox-sebezhetőséget ismernek. Spiegelmock most elismerte: ezt az állítást sem tudja bizonyítani, ő csupán társa szóbeli közlését vette készpénznek.

Azóta történt

Előzmények