Прошло уже более месяца, а компания Mozilla только в пятницу подтвердила наличие критической уязвимости в последней версии веб-браузера Firefox, а также сообщила, что устранена эта уязвимость будет к концу месяца с выходом новой сборки web обозревателя. Критическую уязвимость обнаружил российский исследователь Евгений Легеров, который еще около месяца назад представил свои данные на форуме Immunity. Легеров работает на московскую компанию Intevydis. До сих пор он не публиковал код и вначале даже отказался предоставить его на рассмотрение Mozilla. Впрочем затем, российский специалист предоставил разработчику  "значимые детали и подробную информацию для анализа". В Mozilla подтвердили, что уязвимость действительно носит критический характер и ее эксплуатация может привести к выполнению произвольного кода на компьютере-жертве. Сообщается, что в тестовой версии Firefox уязвимость уже ликвидирована, но в производственной все еще присутствует. Так же, критическая уязвимость была представлена одним из участников американского соревнования Pwn2Own (соревнования по взлому браузеров и iPhone). По условиям этого же соревнования, все участники, обходящие системы безопасности браузеров, не имеют права разглашать технические данные об уязвимости и не имеют права сообщать о ней в интернете до тех пор, пока производитель не устранит ее.
Первоначально планировалось выпустить апдейт, закрывающий уязвимость, обнаруженную сотрудниками компании Secunia, 30 марта. Ошибка связана с целочисленным переполнением при обработке WOFF-шрифтов. При ее успешной эксплуатации можно заставить браузер выполнить произвольный код. Вчера правительство Германии выступило с рекомендацией  не пользоваться Firefox. Это подстегнуло разработчиков, и обновление стало доступно для загрузки на неделю раньше. Скачать программу можно здесь.