Egy Firefox-felhasználó szerda reggel arról értesítette a Mozillát, hogy egy orosz hírportálon látható hirdetés kihasználja a böngésző sebezhetőségét: érzékeny tartalmakat keres a számítógépen, aztán feltölti ezeket egy ukrán szerverre.

A Mozilla tegnap kiadott egy frissítést, ami befoltozza a rést: a 39.0.3-as verzió már biztonságos. (A kiterjesztett támogatással rendelkező változat is megkapta a javítást, tehát az ESR 38.1.1 is biztonsággal használható.)

A sebezhetőség a JavaScript és a Firefox PDF olvasója közötti interakció hibájából adódik, ezért az olvasóval nem rendelkező böngészőket – például az androidos változatot – nem érinti a probléma. A támadással a kártékony kód nem kap ugyan futtatási jogot, viszont képes beférkőzni a JavaScript helyi fájlokkal végzett műveletei közé. Ez biztosította, hogy kutasson a merevlemezen, majd feltöltse a fájlokat egy szerverre.

A kártékony szoftvernek több variánsa is van: elmondjuk, hogy ezek mit csinálnak.

• Windows: a kártékony kód alverziók, az s3browser, illetve Filezilla konfigurációs fájlok után kutat, illetve különböző fiókinformációkat és egyéb FTP kliensek beállítási adatait küldi tovább.
• Linux: az általános konfigfájlok mellett (/etc/passwd) a teljes struktúrában keresi a .bash_history, .mysql_history, pgsql__history, illetve .ssh fájlokat és kulcsokat, illetve olyan szövegfájlokra vadászik, amiknek nevében szerepel a pass, vagy az access kifejezés.
• Mac: a Mozillának nincs tudomása róla, hogy a hekkerek őket is célba vették volna.

A visszaélésnek nincs nyoma a helyi gépen. A Mozilla azt ajánlja, hogy aki Windows vagy Linux klienst használ és nincs telepítve a gépén az Adblocker, az változtassa meg a jelszavait és a biztonsági kulcsait, amikhez az illetéktelenek hozzáférhettek.