Een patch die Mozilla woensdag voor Firefox uitbracht is defect en zorgt ervoor dat hackers kwetsbare systemen kunnen overnemen. Oorspronkelijk had Firefox 3.6.7 een crashende plugin parameter array moeten verhelpen, maar de update zorgt er juist voor dat de browser crasht. Daarbij zou in bepaalde gevallen het geheugen voor een aanvaller toegankelijk zijn, die er vervolgens willekeurige code door kan uitvoeren.
Ook Firefox 3.5.11 had met deze 'regressiefout' te maken, maar daar is het lek niet te misbruiken. Gebruikers van Firefox 3.6.7 krijgen dan ook het advies om naar versie 3.6.8 te upgraden. Dat kan via de browser zelf of Mozilla.com.
Beterschap
Begin dit jaar liet Mozilla nog weten dat het fouten in Firefox-patches wilde verminderen. Deze "regressies" zorgen ervoor dat de opensource ontwikkelaar na het uitkomen van een beveiligingsupdate, meteen een nieuwe update moet uitbrengen. Mozilla kondigde toen verschillende maatregelen aan, maar die konden deze regressiefout niet voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.