A Mozilla prepara para divulgar uma correcção de bugs para seu browser Firefox na próxima semana, corrigindo uma falha de segurança antiga no programa.
A actualização 2.0.0.10 está a ser testada e deve ser divulgada para o público na próxima semana, logo após o feriado de Acções de Graças nos Estados Unidos.
“Estamos a dar ainda mais alguns dias para ter certeza de que não há questões descobertas e divulgaremos após o feriado”, afirmou Mike Schroepfer, vice-presidente de engenharia da Mozilla.
A Mozilla está a pedir que a comunidade do Firefox teste o browser durante o dia de testes para assegurar a qualidade nesta sexta-feira (23/11).
A questão foi reportada inicialmente em Fevereiro por Jesse Ruderman, mas ganhou ampla atenção no começo deste mês quando o pesquisador Petko Petkov apontou no seu blog que a falha poderia ser usada para lançar um ataque do tipo cross-site contra o browser.
A falha tem relação com o facto do Firefox não verificar propriamente ficheiros que são comprimidos usando o formato “.jar”. Crackers poderiam usar códigos maliciosos nos documentos em Java, que deveria então ser aberto pela vítima.
Alguns dias após Petkov publicar as suas descobertas, um pesquisador conhecido como “Bedford” demonstrou como o ataque poderia ser inicializado contra utilizadores do Google, dando a eles acesso às contas de Gmail, buscas do Google e outros dados sensíveis armazenados nos serviços do Google em nome das vítimas.
“Isto significa que crackers podem ter acesso a qualquer dado do perfil e da presença online do utilizador no Google”, afirmou Petkov.
Mesmo que as vulnerabilidades de Petkov e Bedford estejam relacionadas com a maneira pela qual o Firefox lida com ficheiros “.jar”, a Mozilla considera cada uma delas separadamente e prepara duas correcções para a próxima semana.
via IDG Now!