Mozilla je krajem protekle nedelje objavila zakrpu za kritičnu slabu tačku koja je primećena u okviru Firefox-a, a koju je jedan nemački istraživač iskoristio da bi osvojio $10.000 na takmičenju u hakovanju open-source pretraživača koje je nedavno održano a koje nosi naziv Pwn2Own.
Ovo takmičenje je veoma podsećalo na proÅ¡logodiÅ¡nje a Mozilla je prvi kreator pretraživača koji je obezbedio zakrpu za slabu tačku koja je iskoriÅ¡ćena u toku održavanja Pwn2Own. U suÅ¡tini, kompanija je unapredila svoje performanse zatvaranjem najnovije slabe tačke samo osam dana nakon Å¡to je Nils, koji radi za MWR InfoSecurity, hakovao Firefox. ProÅ¡le godine Mozilla-i je bilo potrebno deset dana da obezbedi tadaÅ¡nju Pwn2Own zakrpu.
Nils je i proÅ¡le godine bio taj koji je pronaÅ¡ao slabu tačku u okviru istog takmičenja. Ovaj put Nils je iskoristio slabu tačku koja se odnosi na ugrožavanje memorije i hakovao pretraživač, navodi se u zvaničnom saopÅ¡tenju kompanije Mozilla koji prati update na Firefox 3.6.3. U okviru tog izveÅ¡taja ova kritična tačka je označena kao veoma opasna, Å¡to je ujedno i najviÅ¡i nivo, koji Mozilla koristi u označavanju pretnji.
Nils je iskoristio Firefox 3.6.2 a Mozilla je objavila zakrpu za ovaj pretraživač samo dva dana pre nego Å¡to je takmičenje održano – za 64-bitni Windows 7 takođe zaobilaženjem DEP (Data Execution Prevention) i ASLR (Address Space Layout Randomization) odbrane. Nils je za to dobio nagradu koju je dodelio sponzor Pwn2Own takmičenja, 3Com TippingPoint.
Prema rečima zvaničnog predstavnika kompanije Mozilla, slaba tačka koju je Nils koristio radi samo u okviru Firefox 3.6, najnovijeg izdanja, ali kompanija takođe planira da objavi i zakrpu za Firefox 3.5, kako kažu, za svaki slučaj ukoliko postoji neki alternativni način ponovnog aktiviranja ove slabe tačke. Mozilla nije objavila vremenski rok za Firefox 3.5 update.
Mozilla je takođe zabranila pristup dodatnim informacijama o ranjivosti zaključavanjem Bugzilla-e, njihove baze podataka o izmenama i praćenju bugova, pa je pristup i pregled informacija o slaboj tački omogućen samo ovlaÅ¡ćenim korisnicima. Ovakav potez je tipičan za Mozilla-u kada obezbeđuje update za neki od svojih pretraživača. Kompanije Apple i Microsoft nisu objavile planove za zakrpljivanje slabih tačaka na koje je ukazano na Pwn2Own takmičenju.
Microsoft je potvrdio da je primio detalje o slabim tačkama IE8 koja je holandski istraživač Peter Vreugdenhil koristio za hakovanje pretraživača, ali je početkom nedelje objavljeno da zakrpa joÅ¡ uvek nije spremna. U toku proteklog utorka Microsoft je zakrpio 10 drugih slabih tačaka u okviru IE, uključujući i onu koja je bila masovno koriÅ¡ćena od strane napadača u trajanju od nekoliko nedelja za vrÅ¡enje raznih napada.
Upravo ti napadi su doveli do toga da Microsoft ubrza objavljivanje IE update-a koji je prema prvobitnim planovima trebalo da bude objavljen 13-og aprila. TippingPoint ne objavljuje detalje o iskoriÅ¡ćenim slabim tačkama za Pwn2Own, umesto toga oni kupuju prava na slabe tačke i exploit kodove kao deo takmičenja, nakon čega se te informacije predaju odgovarajućim proizvođačima.
Takođe je potrebno naglasiti da TippingPoint nije objavio nikakve dodatne informacije vezane za Firefox slabu tačku koju je Nils iskoristio a Mozilla nedavno zakrpila. Nova verzija Firefox-a može se preuzeti za Windows, Mac OS X i Linux sa Mozilla-inog sajta. Trenutni korisnici imaju mogućnosti i update-ovanje preko samog pretraživača ili sačekati automatski update koji se aktivira u narednih 48 sati.
