Onderzoekers hebben een ernstig beveiligingslek in Firefox 3.5 ontdekt waardoor aanvallers volledige controle over een systeem kunnen krijgen. De exploit werd gisteren op de "vernieuwde" Milw0rm geplaatst. De kwetsbaarheid wordt veroorzaakt door een fout tijdens het verwerken van "font" HTML tags. Dit zorgt ervoor dat het geheugen corrupt raakt en er een buffer overflow ontstaat. Hierdoor is het mogelijk om willekeurige code uit te voeren.
Het lek is bevestigd in Firefox 3.5, maar ook andere versies zouden mogelijk kwetsbaar zijn. Mozilla moet nog op de kwetsbaarheid reageren, een patch is nog niet beschikbaar. Vanochtend werd nog bekend dat de opensource browser mogelijk ook met een privacylek te maken heeft. Het Finse F-Secure merkt op dat de gratis bètaversie van Exploit Shield tegen de aanval bescherming biedt. Firefox 3.5 is sinds de release, precies twee weken geleden, door 25 miljoen mensen gedownload.
Deze posting is gelocked. Reageren is niet meer mogelijk.