Javascript in Firefox come ActiveX in IE: annunciati 30 0day

Al recente talk di Mischa Spiegelmock e Andrew Wbeelsoi hanno effettuato un “live exploiting” su Firefox 1.5.07 tramite un bug da loro scoperto nel motore di gestione di Javascript. Che questo linguaggio non sia mai stato simpatico a Firefox è risaputo ma che esistessero 30 exploit gravi al suo interno è una novità.
News.com.com spiega che i due blackhat hanno dichiarato di aver scoperto almeno 30 bug all’interno dell’ultima release di Firefox (tutte le versioni: Windows, Linux e Mac OSX).

A detta della neo assunta dalla Mozilla Foundation, Windows Snyder, le slides presentate dai due hackers sarebbero state così dettagliate da poter permettere a qualcuno dei presenti di scrivere un exploit per sfruttare tale vulnerabilità.

A fine conferenza Mischa Spiegelmock e Andrew Wbeelsoi hanno gentilmente specificato che non intendono fornire dettagli sulle vulnerabilità scoperte ne al pubblico ne agli sviluppatori di Firefox. Non è servita a molto la chiaccherata con Jesse Ruderman (Mozilla security Staff) il quale ha cercato di convincerli a consegnare le vulnerabilità ricordandogli che la Mozilla Foundation paga 500 dollari per ogni bug riportato.
Le parole di Wbeelsoi sono state: “It is a double-edged sword, but what we’re doing is really for the greater good of the Internet, we’re setting up communication networks for black hats“.

In pratica le vogliono usare per creare una botnet o come la chiamano loro: una rete di comunicazione per blackhat.

 

I commenti sono chiusi.