Cinco vulnerabilidades foram exploradas por pesquisadores durante o concurso hacker Pwn2Own, todas classificadas como "crítico".
Na terça-feira (18) a Mozilla corrigiu cinco vulnerabilidades do Firefox que foram exploradas por pesquisadores durante o concurso hacker Pwn2Own. Os responsáveis por descobrir as brechas ganharam 200 mil dólares por seu esforço coletivo.
A atualização para o Firefox 28 também adicionou suporte à Central de Notificação do OS X e decodificação de vídeo VP9 em todas as plataformas. O VP9 é um padrão de compressão de vídeo open-source criado pelo Google e suportado pelo Chrome, Firefox e Opera.
Mas o Firefox 28 foi essescialmente um update de segurança. Além das falhas identificadas durante o Pwn2Own, a empresa também corrigiu outras 15 vulnerabilidades.
No desafio hacker copatrocinado pela Iniciativa da HP TippingPoint Zero Day (ZDI) e pelo Google, o Firefox foi atingido por quatro equipes ou indivíduos - o dobro do número de hacks sofridos por qualquer outro browser. O Google corrigiu as vulnerabilidades encontradas no Chrome já na sexta-feira passada, um dia depois de o concurso terminar.
Mariusz Mlynski, Jüri Aedla e uma equipe da empresa fornecedora de vulnerabilidades francesa Vupen invadiram o Firefox no primeiro dia do Pwn2Own; George Hotz fez o mesmo no segundo.
As quatro invasões de sucesso e o baixo valor dos prêmios do Firefox refletem o quão fácil foi para atacantes invadir o navegador - o qual, diferentemente do Chrome, IE e Safari, não possui uma tecnologia sandbox antiexploit que isola o browser do restante do sistema.
Ataques
Para executar o código de ataque em um dispositivo com um browser que contém uma sandbox, o cracker precisa não apenas explorar a vulnerabilidade do software, mas também contornar esse sistema de segurança - geralmente com uma segunda vulnerabilidade.
Isso foi destacado no Pwn2Own, onde três dos quatro hacks no Firefox precisaram de apenas uma vulnerabilidade (Mlynski foi o único pesquisador que explorou dois bugs no Firefox).
Todos os cinco bugs encontrados durante o concurso foram classificados como "crítico" pela Mozilla, o maior nível de classificação de ameaça da empresa.
Duas outras vulnerabilidades críticas foram corrigidas na terça-feira, identificadas como "erros de segurança da memória" no engine que alimenta o Firefox.
"Alguns desses bugs mostraram evidência de corrupção de memória sob certas circunstâncias, e presumimos que, com esforço suficiente, pelo menos alguns deles poderiam ser explorados com o intuito de rodar códigos arbitrários", escreveu a Mozilla em um boletim de segurança.
A Mozilla também corrigiu três vulnerabilidades classificadas como "alto", sete como "moderado" e três como "baixo" no Firefox 28. Apenas das das 13 falhas afetavam a versão do navegador para Android, enquanto que uma se limitava ao Firefox OS.
O Firefox atualmente responde por cerca de 17,7% de todos os navegadores de desktop, a menor parcela desde maio de 2008, de acordo com as últimas estatísticas da empresa de medição de Web Net Applications.
As versões do Firefox 28 para Mac e Linux podem ser baixadas diretamente no site da Mozilla. Os usuários que já tiverem o programa instalado em suas máquinas receberão a atualização automaticamente.
Os usuários de Firefox para Android podem fazer o update por meio da Google Play.
A próxima versão do navegador da Mozilla está programada para 29 de abril e também para estrear a nova interface do navegador do usuário (UI), apelidado de "Australis".
