La società di sicurezza russa Intevydis ha reso disponibile un exploit 0-day Windows per Firefox 3.6, ai clienti del proprio software VulnDisco Professional Pack.
VulnDisco è un add-on commerciale per il toolkit di sicurezza Canvas venduto da Immunity.
Sul forum di Immunity, lo sviluppatore Evgeny Legerov, ha comunicato l’aggiornamento di VulnDisco con l’exploit funzionante per Windows XP SP3 e Vista.
Secunia ha dedicato un advisory a questo bug, si parla di buffer overflow, che consentirebbe di ottenere il controllo remoto della macchina.
Il post presente sul forum risale gli inizi di febbraio, e a quanto pare la falla rimane aperta visto che non sono stati rilasciati aggiornamenti per Firefox 3.6 finora.
Secunia ha classificato il bug come “highly critical” ma non sono disponibili ulteriori dettagli.
Mozilla Foundation è stata informata del problema, ma per il momento non ha ancora rilasciato alcun comunicato ufficiale.
Sul fatto che l’exploit stia o meno circolando in varie forme, non ci sono ancora certezze, in ogni caso un fenomeno osservato da alcuni è il significativo incremento del numero di crash delle versioni Firefox 3.6, in particolare nelle giornate del 12 e 13 febbraio.