WikiLeaks heeft Firefox-exploits die van de CIA afkomstig zijn met Mozilla gedeeld, maar volgens de opensource-ontwikkelaar gaat het om zeer oude exploits die geen risico meer voor gebruikers vormen. Begin maart onthulde de klokkenluiderssite allerlei documenten van de Amerikaanse inlichtingendienst.
Daaruit blijkt dat de CIA over allerlei malware, exploits en hacktools bezit om systemen mee aan te vallen. WikiLeaks kondigde vervolgens aan dat het de informatie met techbedrijven zou gaan delen, zodat die maatregelen kunnen nemen om hun gebruikers te beschermen. Ook Mozilla ontving dergelijke informatie. Het gaat om JavaScript-bestanden die zonder verdere context werden opgestuurd, aldus Firefox-ontwikkelaar Daniel Veditz.
Verder onderzoek wijst uit dat twee van de JavaScript-bestanden misbruik maken van een Firefox-lek dat in 2014 tijdens de Pwn2Own-hackwedstrijd werd gevonden en niet veel later werd gepatcht. Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden betaald voor het demonstreren van kwetsbaarheden in browsers en browserplug-ins. Gevonden kwetsbaarheden worden met de softwareontwikkelaar in kwestie gedeeld, zodat die een update kunnen ontwikkelen. Iets wat ook in dit geval gebeurde.
Een ander JavaScript-bestand dat Mozilla ontving bleek alleen te werken met ECMAScript for XML (E4X), dat sinds Firefox 21 niet meer in de browser aanwezig is. Firefox 21 verscheen op 14 mei 2013. De bestanden werden al een maand geleden met Mozilla gedeeld, maar de opensource-ontwikkelaar heeft de informatie nu via Bugzilla openbaar gemaakt. Bugzilla is Mozilla's platform voor het melden van beveiligingslekken en andere bugs en wordt door Firefox-ontwikkelaars gebruikt om over kwetsbaarheden en updates te overleggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.