Un atacator ar putea prelua controlul asupra unui computer care rulează browserul prin simpla creare a unei pagini web care conţine cod JavaScript maliţios, au declarat sâmbătă Mischa Spiegelmock şi Andrew Wbeelsoi, cu ocazia conferinţei ToorCon. Deficienţa afectează versiunile Firefox pentru Windows, Mac OS X şi Linux, au precizat ei.
“Internet Explorer, aşa cum ştie toată lumea, nu este foarte sigur. Dar şi Firefox este destul de nesigur”, a declarat Spiegelmock, care în viaţa de zi cu zi lucrează la compania SixApart. El a oferit detalii cu privire la această deficienţă, arătând o prezentare referitoare la codul de atac necesar pentru exploatarea acesteia.
Deficienţa se leagă de implementarea Firefox a JavaScript, un limbaj de scripting utilizat pe scară largă pe web. Spiegelmock spune că implementarea este “un dezastru total”, pentru care “este imposibilă realizarea unui patch”.
Problema JavaScript pare a fi o vulnerabilitate reală, a confirmat Window Snyder, responsabilul cu securitatea informatică la Mozilla, după ce a urmărit o înregistrare a prezentării celor doi hackeri. “Ceea ce descriu ei ar putea fi o variaţiune a unui atac mai vechi. Vom face investigaţii”, a declarat el.
Snyder spune că nu este fericită pentru că un aparent exploit al acestei deficienţe a fost expus în timpul unei prezentări. “Se pare că aveau destule informaţii în prezentarea lor pentru a putea fi reproduse de un atacator”, a declarat ea. “Cred că este o situaţie nefericită, întrucât expune utilizatorii la risc, dar asta pare să fie şi scopul lor”, a precizat Snyder.
Snyder a precizat că, din cauza faptului că deficienţa pare să fie în JavaScript virtual machine, lansarea unui patch ar putea dura ceva timp.
Hackerii spun că au cunoştinţă de aproximativ 30 de deficienţe din Firefox, pentru care nu există patch-uri. Ei nu intenţionează însă să le dezvăluie.
Jesse Ruderman, un reprezentant al Mozilla, a participat la conferinţă şi a fost chemat pe scenă alături de cei doi hackeri. El a încercat să-i convingă să prezinte în mod responsabil deficienţele prin intermediul programului de recompense al Mozilla, în loc să le utilizeze cu scopuri maliţioase. Cei doi hackeri i-au refuzat însă oferta.