Firefox herstelt volgende week na aanval is gepubliceerd

Er is een online aanvalscode vrijgegeven die zich richt op een kritieke, niet-gecrashte fout in de Firefox-browser.

De aanvalscode, geschreven door beveiligingsonderzoeker Guido Landi, is woensdag op verschillende beveiligingswebsites gepubliceerd en heeft Firefox-ontwikkelaars gescrambeld om de kwestie. Tot de fout is hersteld, kan deze code worden gewijzigd door aanvallers en worden gebruikt om ongeautoriseerde software naar de machine van een Firefox-gebruiker te sluipen.

Mozilla-ontwikkelaars hebben al een oplossing voor het beveiligingslek uitgewerkt. Het is gepland om te verzenden in de aankomende 3.0.8-release van de browser, die nu door de aanvalscode wordt gekenmerkt als een "hoge-prioriteitsfiredrill-beveiligingsupdate". Die update wordt ergens begin volgende week verwacht.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

"We … beschouwen dit als een kritiek probleem", zei Mozilla-directeur van Security Engineering Lucas Adamski in een e-mail.

De bug heeft invloed op Firefox op alle besturingssystemen, inclusief Mac OS en Linux, volgens Mozilla-ontwikkelaarsbeschrijvingen over dit probleem.

Door een slachtoffer te misleiden om een ​​kwaadwillig gecodeerd XML-bestand te bekijken, kan een aanvaller deze bug gebruiken om te installeren ongeautoriseerde software op het systeem van een slachtoffer. Dit soort webgebaseerde malware, een drive-by-download genoemd, is de laatste jaren steeds populairder geworden.

Hoewel de publieke versie van de aanvalscode van de browser niet zo vaak voorkomt, lijken beveiligingsonderzoekers geen veel problemen met het vinden van bugs in browsersoftware. Vorige week hebben twee hackers op de CanSecWest-beveiligingsconferentie vier afzonderlijke bugs in de Firefox-, IE- en Safari-browsers opgegraven.