Firefox Patch Zero-day, Hacking Contest Bugs

Hanya beberapa hari setelah peretas merilis kode yang dapat digunakan untuk menyerang peramban Firefox, para pengembang Mozilla telah memperbaikinya.

Mereka merilis versi terbaru 3.0.8 dari browser andalan mereka Jumat sore, hanya dua hari setelah kode diposting ke Milw0rm Situs web dan lebih awal dari perbaikan dijanjikan.

Pembaruan ini juga memperbaiki bug yang diungkapkan kepada firma riset TippingPoint minggu lalu oleh peretas yang menggunakannya untuk memenangkan kontes Pwn2Own perusahaan pada konferensi keamanan CanSecWest. Itu adalah salah satu dari tiga yang digunakan oleh peretas Jerman, yang hanya memberi nama pertamanya, Nils, untuk mengklaim uang tunai sebesar US $ 15.000 dan laptop sebagai hadiah.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pengembang Mozilla menggambarkan rilis sebagai "pembaruan keamanan dipicu prioritas tinggi" berkat kode serangan, yang dikenal sebagai eksploit "zero day". Pekerjaan cepat terbayar, seperti yang mereka perkirakan akan berlangsung hingga awal minggu depan untuk menyelesaikan pengujian.

Mozilla mengatakan kedua bug itu "kritis."

Kelemahan Nils mengeksploitasi bug dalam rutin Firefox yang dikenal sebagai metode _moveToEdgeShift. Dia menggunakannya untuk meretas peramban yang berjalan di Mac OS X, tetapi juga dapat mempengaruhi platform lain.

Kelemahan lainnya, yang berkaitan dengan cara peramban memproses stylesheet XSL (Extensible Stylesheet Language), mempengaruhi Firefox di semua sistem operasi, dan juga mempengaruhi aplikasi Seamonkey Internet.

Kedua bug ini dapat dipicu dengan menipu korban untuk melihat halaman Web berkode jahat, yang kemudian akan memungkinkan penyerang untuk menginstal perangkat lunak tidak sah pada sistem korban. Malware berbasis Web semacam ini, yang disebut unduhan drive-by, telah menjadi semakin populer dalam beberapa tahun terakhir.

Pembaruan Firefox berikutnya, 3.0.9, direncanakan akan dirilis 21 April.