Mozilla heeft een extreem ernstig beveiligingslek in Firefox supersnel gepatcht. De kwetsbaarheid wordt actief door hackers misbruikt voor het infecteren van systemen en werd gisteren op de website voor de Nobel vredesprijs ontdekt. Het lek is aanwezig in Firefox 3.5 en 3.6, Thunderbird 3.1 en 3.0 en Seamonkey 2.0. Gebruikers krijgen dan ook het advies om te updaten naar Firefox 3.6.12 of 3.5.15, Thunderbird 3.1.6 of 3.0.10 en SeaMonkey 2.0.10.
Mozilla merkt op dat het lezen van een e-mail geen risico voor gebruikers vormt, maar dat het lek wel in de code aanwezig is. Het openen van een RSS feed als JavaScript is ingeschakeld of door een uitbreiding die browser-achtige functionaliteit inschakelt, kan er toch voor zorgen dat een aanvaller via Thunderbird systemen kan compromitteren.
Windows XP
De kwetsbaarheid werd ontdekt door Morten Krakvik van Telenor SOC, die een aanval op het netwerk van een klant onderzocht. De aanvallers hadden het voorzien op Firefox 3.6 in combinatie met Windows XP. Het lek bleek echter ook in versie 3.5 van de opensource browser aanwezig te zijn.
Ook de exploit op de website van de Nobel vredesprijs controleerde welke Firefox versie en besturingssysteem werd gebruikt. In het geval van Windows 7, Vista en Server 2008 (R2), werd de exploit niet uitgevoerd, ook al bezocht men de pagina met een kwetsbare browser, aldus Trend Micro. Updaten naar de nieuwe versies kan via de clients zelf of Mozilla.com.
Deze posting is gelocked. Reageren is niet meer mogelijk.