Hakkerit esittelivät Firefoxin tuntemattomia turva-aukkoja
19
Kaksi hakkeria on alan konferenssissa esitelleet Firefoxin kriittistä turva-aukkoa, ja väittävät, että heillä on tiedossaan vielä 30 muuta aukkoa, joita ei paljasteta kehittäjille vaan käytetään omiin tarkoituksiin. "Internet Explorer, niin kuin kaikki tietävät, ei ole kovin turvallinen. Firefox on samoin melko turvaton", sanoo aukon löytäjä, ja väittää: "Firefoxin Javascript-toteutus on täysi sekasotku. Sitä on mahdotonta korjata."
Kommentit ovat aukon toisen löytäjän Mischa Spiegelmockin, kertoo uutispalvelu Cnet. Yhdessä Andrew Wbeelsoin kanssa hän esitteli Firefoxin turva-aukkoa Toorcon hakkerikonferenssissa San Diegossa.
Javascript-toteutuksessa 30 aukkoa lisää
Kaksikko esitteli haavoittuvuutta, ja väitti sen löytyvän Firefoxin Windows-, Linux- ja Mac OS X -versioista. He näyttivät esityksessään myös hyökkäyskoodin, jolla turva-aukkoa voi hyödyntää. Cnetin mukaan paikalla ollut Firefoxin kehityksestä vastaavan Mozilla-säätiön tietoturvapäällikkö Window Snyder totesi, että aukko vaikuttaisi olevan todellinen, joskin mahdollisesti muunnelma aikaisemmasta turvaongelmasta. Firefoxin kehittäjät eivät ole aikaisemmin olleet tietoisia ongelmasta, eikä siihen ole siksi myöskään turvapäivitystä.
Spiegelmock arvosteli myös Firefoxin tietoturvaa kovin sanoin. Hänen mukaansa Firefoxin Javascript-toteutus on huono, ja sitä voi huijata erilaisilla ohjelmointikikoilla niin, että saadaan aikaiseksi puskuriylivuoto, jolla hyökkääjä voi ajaa omaa koodiaan uhrikoneessa.
Hakkeriparin mukaan heillä olisi tällä perusteella tiedossaan noin 30 turva-aukkoa. Cnetin mukaan Mozillan turvallisuuden parissa työskentelevä Ruderman pyydettiin esityksen aikana lavalle, ja hän suositteli hakkereille aukkojen raportoimista asiallisesti Firefoxille korjaamista varten. Cnetin mukaan kaksikko olisi vain nauranut ehdotukselle ja todennut, että he haluavat mieluummin varata kommunikointikanavan internetiin black hat -hakkereille.
