Celem uczestników konkursu, organizowanego podczas konferencji CanSecWest, będzie włamanie się do komputerów za pośrednictwem nieznanych wcześniej luk w przeglądarkach internetowych. Będą: to Internet Explorer Microsoftu, Firefox Mozilli, Chrome Google'a oraz Safari Apple'a.

Google już w poniedziałek zaktualizował swój program, teraz przyszedł czas na Mozillę (szczególnie, że firma od grudnia nie udostępniała nowych wersji swojej aplikacji - z wyjątkiem bet kolejnego wydania). W najnowszych wersjach Firefoksa (oznaczonych, odpowiednio, 3.6.14 i 3.5.17) załatano 11 błędów. 9 z nich Mozilla uznała za luki krytyczne - tzn. takie, które mogą posłużyć do uruchomienia w systemie złośliwego kodu bez żadnej akcji ze strony użytkownika. Dwa kolejne błędy uznano za umiarkowanie groźne, zaś jeden - za wysoce niebezpieczny.

Opóźnione poprawki

Warto przypomnieć, że Mozilla początkowo zapowiadała tę aktualizację na połowę lutego - później okazało się jednak, że prace nad poprawkami trzeba nieco wydłużyć (w związku z wykryciem kolejnego problemu, tym razem ze stabilnością przeglądarki). Ostatecznie organizacja zdecydowała się na publikację poprawek tuż przed rozpoczęciem Pwn2Own - tak, by maksymalnie utrudnić uczestnikom konkursu sforsowanie zabezpieczeń Firefoksa.

Wśród załatanych właśnie luk znalazły się m.in. trzy błędy związane z obsługą skryptów JavaScript, dwa błędy w "silniku" odpowiedzialnym za renderowanie kodu HTML oraz luka w module przetwarzającym pliki JPEG. Mozilla usunęła również lukę typu CSRF (Cross-site forgery request), wykrytą przez specjalistę ds. bezpieczeństwa z firmy Adobe (jest ona związana z obsługą formatu Flash i występuje również w innych przeglądarkach - Safari oraz Chrome).

Przypomnijmy: konkurs Pwn2Own rozpoczyna się 9 marca - na jego uczestników czeka w sumie 65 tys. USD, które zostaną wypłacone w formie nagród za udane włamania przez nieznane wcześniej luki w zabezpieczeniach czterech najpopularniejszych przeglądarek internetowych oraz systemach operacyjnych urządzeń przenośnych (iOS, Blackberry OS, Android oraz Windows Phone 7).

Tuż przed rozpoczęciem ubiegłorocznej edycji konkursu swoje przeglądarki załatał Google oraz Apple - pierwszej firmie to pomogło (nikt nie włamał się do Chrome), drugiej - nieszczególnie (Charlie Miller błyskawicznie sforsował zabezpieczenia Safari). Mozilla przed rokiem nie zaktualizowała Firefoksa przed Pwn2Own - zamiast tego organizacja ogłosiła publicznie, że w przeglądarce jest krytyczny błąd, który zostanie załatany dopiero po konkursie (po długich dyskusjach zdecydowano, że uczestnicy nie mogą wykorzystywać tej luki).

Wkrótce premiera "czwórki"

Dodajmy, że Firefox z linii 3.x zostanie niedługo zastąpiony przez wersję nr 4 - Mozilla udostępniła niedawno finalną betę tego wydania (oficjalna premiera odbędzie się prawdopodobnie jeszcze w tym miesiącu).

Najnowszą wersję Firefoksa można pobrać ze strony Mozilli. Użytkownicy aplikacji mogą ją automatycznie zaktualizować, korzystając z polecenia Sprawdź dostępność aktualizacji (w menu Pomoc).