Firefox-gebruikers zijn gewaarschuwd voor een extreem ernstig beveiligingslek in de browser dat hackers op dit moment actief misbruiken en waar nog geen patch voor is. Het Noorse anti-virusbedrijf Norman ontdekte een Trojaans paard op de website van de Nobelprijs voor de Vrede, dat zich via een drive-by download verspreidde. Bezoekers met Mozilla's browser werden automatisch met de malware besmet, die aanvallers volledige controle over de machine geeft. De aanval bleek een geheel nieuwe kwetsbaarheid in Firefox 3.5 en 3.6 te misbruiken.
Mozilla heeft het zero-day lek inmiddels bevestigd en zegt dat het van meerdere beveiligingsbedrijven heeft gehoord dat hackers het lek misbruiken. De website voor de Nobelvredesprijs wordt inmiddels door de ingebouwde malwarebescherming van Firefox geblokkeerd, maar het is zeer goed mogelijk dat exploitcode nog op andere websites actief is.
Oplossing
Er wordt inmiddels gewerkt aan een beveiligingsupdate. Tot die tijd krijgen gebruikers het advies om JavaScript in Firefox uit te schakelen of de populaire uitbreiding NoScript te installeren.
Update 18:25
Met dank aan anoniem op deze pagina een uitleg wat er misgaat met de browser en wat de patch, waar Mozilla nu aan werkt, zal verhelpen. Inmiddels is CVE-2010-3765 aan het lek toegekend en zou de bètaversie van Firefox 4 niet kwetsbaar zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.