Firefox først ut av skammekroken

Firefox først ut av skammekroken

Mozilla retter en alvorlig feil oppdaget av en student. Pinlig, men det er enda verre for Microsoft og Apple.

Mozilla, selskapet bak nettleseren Firefox, måtte bite i gresset etter at en tysk student avslørte et kritisk hull i Pwn2Own-konkurransen for hackere. Fredag hadde selskapet ryddet opp i to feil.

Selv om affæren er pinlig for Firefox, kunne selskapet i alle fall vise til vilje og evne til å løse problemene fort. Hullet ble fikset fem dager før fristen, og slo dermed Microsoft og Apple, som også fikk avslørt alvorlige feil.

LES OGSÅ:

Hacket Mac på under ti sekunder

Penger for hacking

På Pwn2Own-konkurransen slo en tysk student til. Den 25 år gamle mannen, som bare sto frem med fornavn Nils, hacket ikke bare Firefox, men også Apples Safari og Microsofts Internet Explorer 8 på Windows 7. Nils fikk betalt 5000 dollar for hver hack, altså 15.000 dollar til sammen (rundt 100.000 kroner).

Pengene ble betalt av 3Com's TippingPoint, som er hovedsponsor for konferansen. Sikkerhets- og hackeseansen Cansecwest ble avholdt tidligere denne måneden i Vancouver, Canada. Pwn2Own-konkurransen er en del av CanSecWest.

Forrige uke kunngjorde Mozilla at dette hullet, pluss en annen alvorlig feil, skulle patches 1. april, men selskapet overrasket med å levere varene allerede på fredag.

Begge feil var kritiske, ifølge Mozilla.

Banket Apple og Microsoft

Hullet som tyskeren fant var en i XUL, Mozillas XML språk (user interface markup language). I noen tilfeller kræsjet "_moveToEdgeShift"-metoden i Firefox. Etter en slik kræsj var pc-en sårbar for angrep med uønskede koder, var Mozillas konklusjon.

Mozilla måtte stenge Bugzilla, nettleserens bugsenter for å overvåke databaser, slik at bare autoriserte brukerne fikk tilgang.

I tillegg fikset selskapet også en sårbarhet i Firefox 3.0.8 som ble publisert på milw0rm.com forrige uke. Feilen åpnet for angrep med ondsinnet XSL-kode på websider.

Mozilla vant i alle fall kampen om å være først ute med rettelser etter hackerkonferansen. Både Apple og Microsoft jobber fremdeles med feilene i sine nettlesere etter Pwn2Own-konkurransen.

Mer om Cansecwest-konferansen her.

LES OGSÅ: