Некоторое время назад, мы уже сообщали об обнаруженной критической уязвимости в веб-браузере Firefox.  Уязвимость была обнаружена практически сразу после выхода версии 3.6. Так же мы сообщали, что компания Mozilla подтвердила наличие данной уязвимости и обещала закрыть её с выходом обновленной версии 3.6.2, которая должна была появиться 30 марта. Но масса факторов повлияло на решение компании,  в результате чего,  релиз программы состоялся раньше срока.  Разработчики проекта Mozilla в экстренном порядке выпустили  корректирующий релиз Firefox 3.6.2  в котором исправлена критическая уязвимость. Проблема связана с наличием целочисленного переполнения в коде декодирования WOFF-файлов, в результате чего можно инициировать загрузку шрифта в буфер значительно меньшего размера, чем размер загружаемых данных. Иными словами говоря, происходит переполнение буфера обмена. Успешное проведение атаки позволяет злоумышленнику организовать выполнение кода с привилегиями запустившего браузер пользователя. Следует отметить, что поддержка формата Web Open Font Format (WOFF), используемого для распространения шрифтов OpenType, Open Font Format или TrueType в сжатом виде, появилась начиная с Firefox 3.6, т.е. уязвимость не затрагивает прошлые ветки браузера 3.0 и 3.5. Релиз 3.6.1 был пропущен). Внеплановый выпуск корректирующего релиза Firefox 3.6.2 связан с появлением в сети рабочего эксплоита. Скачать обновленный Firefox, вы можете здесь.