Компания Mozilla подтвердила наличие критической уязвимости в последней версии веб-браузера Firefox и сообщила, что уязвимость будет устранена к концу месяца.
Критическая уязвимость была представлена одним из участников американского соревнования Pwn2Own. По условиям этого же соревнования, все участники, обходящие системы безопасности браузеров, не имеют права разглашать технические данные об уязвимости и не имеют права сообщать о ней в интернете до тех пор, пока производитель не устранит ее.
В Mozilla заявили, что уязвимость и впрямь носит критический характер и ее эксплуатация может привести к выполнению произвольного кода на компьютере-жертве. Сообщается, что в тестовой версии Firefox уязвимость уже ликвидирована, но в производственной все еще присутствует.
Критическую уязвимость обнаружил российский исследователь Евгений Легеров, который еще около месяца назад представил свои данные на форуме Immunity. До сих пор он не публиковал код и вначале даже отказался предоставить его на рассмотрение Mozilla.
Впрочем, в Mozilla заявили, что российский специалист предоставил им «значимые детали и подробную информацию для анализа». Ожидается, что исправление будет доступно 30 марта в версии Firefox 3.6.2 (сейчас оно есть в бета-версии этого браузера).