Mozilla heeft een ernstig beveiligingslek in Firefox een week eerder dan gepland gepatcht. Oorspronkelijk zou Firefox 3.6.2 op 30 maart uitkomen, maar de update is nu al te downloaden. Het lek in de opensource browser werd halverwege februari door onderzoeker Evgeny Legerov aangekondigd en liet aanvallers kwetsbare systemen overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website zou in dit geval volstaan. Ondanks de ernst van het lek, liet Mozilla weten dat het de kwetsbaarheid niet kon patchen, omdat de vereiste informatie ontbrak. Het lukte de ontwikkelaar niet om met Legerov contact op te nemen.

Dit weekend bevestigde Mozilla dat het lek alleen in Firefox 3.6 aanwezig was en de update al klaar stond. Vanwege de kwetsbaarheid waarschuwde de Duitse overheid om tot het uitkomen van de patch, geen Firefox te gebruiken en op een alternatief over te stappen. Waarom de update vervroegd is uitgebracht laat Mozilla niet weten.

Waarschuwingsdienst
De melding over de update staat ook op de website van de Waarschuwingsdienst. Toch zal er geen sms of e-mail naar abonnees van de dienst worden gestuurd, zo laat GOVCERT woordvoerster Ella Broos aan Security.nl weten. Er is namelijk nog geen exploitcode in het wild aangetroffen. Mocht de situatie veranderen en er wel misbruik op grote schaal plaatsvinden, dan zal de Waarschuwingsdienst alsnog een waarschuwing via e-mail of sms afgeven.

Naast het lek van Legerov, verhelpt Firefox 3.6.2 vijf andere lekken, waarvan drie ernstig. Updaten kan via de browser of Mozilla.com.