Firefox Patch Zero-day, Bugs Contest Hacking

Mereka mengeluarkan versi 3.0.8 pelayar perdana mereka pada hari Jumaat petang, hanya dua hari selepas kod tersebut diposkan ke Milw0rm Kemas kini ini juga membetulkan pepijat yang didedahkan kepada firma penyelidikan TippingPoint minggu lepas oleh penggodam yang menggunakannya untuk memenangi pertandingan Pwn2Own syarikat di persidangan keselamatan CanSecWest. Ia adalah salah satu daripada tiga yang digunakan oleh penggodam Jerman, yang hanya memberikan nama pertamanya, Nils, untuk menuntut AS $ 15,000 secara tunai dan komputer riba sebagai hadiah.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Pemaju Mozilla telah menerangkan pembebasan sebagai "kemaskini keselamatan firedrill update" berkat kod serangan, dikenali sebagai eksploitasi "sifar hari".

Kesilapan Nils mengeksploitasi pepijat dalam rutin Firefox yang dikenali sebagai kaedah _moveToEdgeShift. Ia menggunakannya untuk menggodam pelayar yang berjalan pada Mac OS X, tetapi ia boleh menjejaskan platform lain juga.

Kecacatan yang lain, yang berkaitan dengan cara penyemak imbas memproses stylesheets XSL (Extensible Stylesheet Language), mempengaruhi Firefox pada semua sistem operasi, dan juga memberi kesan kepada aplikasi Internet Seamonkey.

Kedua-dua pepijat ini boleh dicetuskan dengan menipu seorang mangsa untuk melihat halaman Web yang berunsur cina yang akan membolehkan penyerang memasang perisian tidak sah ke atas sistem mangsa. Seperti malware berasaskan web, yang dipanggil muat turun cakera, telah menjadi semakin popular dalam beberapa tahun kebelakangan.

Kemas kini seterusnya Firefox, 3.0.9, ditetapkan untuk dikeluarkan pada 21 April.