Przedstawiciele Mozilli przeanalizowali informację opublikowaną przed ponad miesiącem na forum firmy Immunity przez rosyjskiego specjalistę ds. bezpieczeństwa Jewgienija Legerowa (pracującego dla moskiewskiej firmy Intevydis, współpracującej z Immunity). Ekspert dość ogólnie opisał wtedy ów nowy błąd - nie dostarczył jednak żadnych szczegółowych informacji, nie udostępnił również exploita wykorzystującego lukę.

Dość niespotykane było to, że Legerow nie chciał również przekazać danych na temat przedstawicielom... Fundacji Mozilla. Gdy ci poprosili go o jakieś szersze informacje o problemie, napisał w swoim blogu: "Zignorowałem ich [pracowników FM - red.] e-maile. Proszę was, nie marnujcie czasu swojego i mojego". Później jednak skasował ów wpis (wciąż można go znaleźć w cache'u przeglądarki Google), a z czasem najwyraźniej przemyślał całą sytuację, bo ostatecznie przekazał Mozilli na tyle precyzyjne informacje, by autorzy Firefoksa mogli zidentyfikować i usunąć błąd.

Już pierwsze analizy wykazały, że problem faktycznie jest istotny - w blogu poświęconemu bezpieczeństwu produktów Mozilli napisano: "Ustaliliśmy, że luka jest krytyczna i umożliwia zdalne, nieautoryzowane uruchomienie kodu. Błąd został już usunięty przez naszych programistów - teraz testujemy poprawkę i wkrótce będziemy gotowi do przekazania jej użytkownikom".

Wiadomo już, że luka zostanie załatana w wydaniu 3.6.2 Firefoksa - z terminarza Mozilli wynika, że zostanie ono udostępnione 30 marca. Jeśli jednak ktoś bardzo obawia się ataku przeprowadzonego z wykorzystaniem tego błędu, to może pobrać i zainstalować wersję beta wydania 3.6.2 (aczkolwiek należy się liczyć, że mogą w nim występować jeszcze pewne problemy).

Warto przy okazji wspomnieć, że w przyszłym tygodniu - czyli jeszcze przed pojawieniem się poprawki dla Firefoksa - rozpocznie się słynny konkurs hakerski Pwn2Own, którego uczestnicy będą mieli za zadanie włamać się do popularnych przeglądarek, w tym również Firefoksa. Apple i Google - których przeglądarki również będą celami - już zaczęły się przygotowywać do tego wydarzenia (obie firmy udostępniły niedawno nowe, załatane, wersje swoich aplikacji).

Mozilla wydaje się jednak nie przejmować konkursem - nowa wersja, w której usuniętych zostanie kilka błędów pojawi się już po Pwn2Own 2010. Organizatorzy imprezy zastrzegają jednak, że ujawnienie luki wykrytej przez Jewgienija Legerowa nie powinno wpłynąć na przebieg konkursu - ponieważ błąd został już upubliczniony, a to znaczy, że nie można go użyć do zaatakowania przeglądarki podczas konkursu (regulamin dopuszcza wykorzystywanie wyłącznie nie znanych wcześniej błędów).

"Podczas imprezy przez cały czas dyżurować będzie cały nasz zespół specjalistów ds. bezpieczeństwa, których zadaniem będzie m.in. upewnienie się, że nikt nie będzie oszukiwał - np. wykorzystując błąd, który został już wcześniej upubliczniony" - tłumaczy Aaron Portnoy, przedstawiciel firmy 3Com TippingPoint (sponsora Pwn2Own). Dodajmy, że Portnoy prognozował już wczoraj, że pierwszą przeglądarką, do której zdoła się włamać któryś z uczestników Pwn2Own, będzie Internet Explorer 8 Microsoftu.

Odnotujmy, że 30 marca Mozilla udostępni nie tylko wersję 3.6.2 Firefoksa, ale również uaktualnienie dla przeglądarki z linii 3.0 - wersję 3.0.19. Będzie to ostatnie uaktualnienie dla tego wydania - udostępniając je Mozilla oficjalnie zakończy świadczenie wsparcia technicznego dla Firefoksa 3.x.