Firefox: Corretti i bug sfruttati durante l’ultimo Pwn2Own contest

• Pierfrancesco Petruzzelli (pierfrancesco99)


• 29 Mar 2009

Giusto qualche giorno dopo che l’hacker ha rilasciato il codice utilizzato durante il Pwn2Own contest per “bucare” Firefox, gli sviluppatori di Mozilla hanno risolto il problema. E nella giornata di venerdi hanno rilasciato la versione 3.0.8 con i fix.

Gli sviluppatori Mozilla hanno dichiarato questa release ad alta priorità, e l’exploit è stato segnalato come “zero day”. Questo è stato utilizzato da uno dei tre tedeschi presenti al concorso, del quale però conosciamo solamente il nome, Nils, e che gli hanno permesso di vincere i 15 mila dollari promessi.

Nils ha sfruttato un bug nella routine di Firefox, installato su un Mac OS X, noto come _moveToEdgeShift, ma che comunque poteva essere sfruttato anche su altre piattaforme.

L’altro problema riguardava il modo in cui il browser processa i fogli di stile XSL, erano affette tutte le versioni di Firefox, incluso SeaMonkey. Il prossimo aggiornamento di Firefox, 3.0.9 è stato programmato per il 21 aprile.