Exploit na lukę w Firefoksie 3.5 to "samobój" Mozilli?

Przedstawiciele Fundacji Mozilla przyznali przedwczoraj, że w Firefoksie 3.5 wykryto pierwszy poważny błąd w zabezpieczeniach. Co ciekawe, jeden z developerów programu twierdzi, że część winy za to, że w Sieci pojawił się już exploit, umożliwiający wykorzystanie luki do przeprowadzenia ataku, ponosi... Mozilla.

Przypomnijmy: błąd związany z jest z obsługą skryptów JavaScript - wykryto go w kompilerze JIT (Just in Time), będącym elementem nowego "silnika" renderującego kod JS, TraceMonkey. Luka umożliwia stworzenie strony WWW, której wyświetlenie w Firefoksie spowoduje automatyczne uruchomienie w systemie Windows złośliwego kodu. Duńska firma Secunia, specjalizującą się w analizowaniu doniesień o błędach, uznałą lukę za "wysoce krytyczną". Szerzej o problemie pisaliśmy w tekście "Wysoce krytyczna luka w przeglądarce Firefox 3.5".

Teraz okazało się, że przynajmniej część winy za to, że w Sieci pojawił się już exploit na tę lukę, może ponosić Mozilla - a dokładniej, przyjęty przez organizację model analizowania informacji o błędach w oprogramowaniu. Jeden z developerów Firefoksa, Andreas Gal, napisał w komentarzach do zgłoszenia o luce, opublikowanego na stronie Mozilli: "Przyjrzałem się exploitowi oraz naszym wcześniejszym testom i stwierdzam, że częściowo sami spowodowaliśmy tę sytuację. Powinniśmy ukryć informacje o błędzie wcześniej". Gal odniósł się w ten sposób do faktu, iż na publicznych stronach Bugzilli szczegółowo opisano ową lukę - autor exploita stworzył go prawdopodobnie na podstawie informacji, które znalazł w serwisie Mozilli. Gal jest jednym z bardziej znaczących uczestników projektu Firefox - to naukowiec z University of California, jeden z autorów techniki o nazwie "trace trees" (dzięki niej możliwe jest wydajniejsze wykonywanie kodu JavaScript), która jest podstawą silnika TraceMonkey.

Z Andreasem Galem zgodził się inny uczestnik dyskusji - jego zdaniem z informacji o wywołanym przez ów błąd zawieszeniu przeglądarki (które można znaleźć w debuggerze) wyraźnie wynika, że autor exploita wykorzystał dokładnie tę samą metodę uruchomienia złośliwego kodu, o której dyskutowali programiści Firefoksa.

Dodajmy, że ów exploit pojawił się w serwisie Milw0rm.com w poniedziałek - początkowo wydawało się, że to właśnie jego autor wykrył lukę w Firefoksie. Dopiero później wyszło na jaw, że Mozilla wiedziała o problemie już od ubiegłego czwartku - od tego dnia w Bugzilli trwała dyskusja na temat dziury w kompilerze. Twórca exploita prawdopodobnie właśnie tam znalazł informacje o błędzie - i na ich podstawie stworzył kod, który może posłużyć do automatycznego zaatakowania Firefoksa.

Na szczęście na atak nie jest podatne wydanie 3.0 Firefoksa - to najpopularniejsza obecnie wersja tej przeglądarki (wydanie 3.5 pojawiło się pod koniec czerwca). Potwierdza to m.in. Asa Dotzler z Mozilli, który w firmowym blogu zapewnił, że trwają już prace nad odpowiednią poprawką - zostanie ona udostępniona użytkownikom, gdy tylko zakończone zostaną niezbędne prace i testy.

Użytkownicy Firefoksa mogą tymczasowo zabezpieczyć się przed luką wyłączając w przeglądarce obsługę skryptów JavaScript (Narzędzia -> Opcje -> Treść) - aczkolwiek przedstawiciele Mozilli zwracają uwagę, że spowoduje to dość znaczące ograniczenie funkcjonalności przeglądarki.

Warto dodać, że wykrycie błędu znacznie przyspieszy udostępnienie pierwszego uaktualnienia dla Firefoksa 3.5. Pierwotnie zakładano, że pojawi się ono dopiero pod koniec lipca - teraz wiadomo, że zostanie udostępnione w najbliższych dniach (a być może nawet jeszcze dziś).


Zobacz również