Как стало известно, компания Mozilla готовит к выпуску раньше намеченного срока, новых корректирующих релизов браузера Firefox, выпуск которых намечен на 1 марта. Данная спешка обусловлена необходимостью закрытия, найденных ранее серьезных багов в программном коде браузера, приводящих к компрометации операционной системы пользователя. Ранее, 14 февраля в Mozilla сообщили, что специалисты компании разбирают сообщения, связанные с тем, что тестеры ряда бета-версий браузера обнаружили наличие уязвимости CSRF (cross-site request forgery) и условий, при наступлении которых происходит крах браузера. Поясним: CSRF (англ. Сross Site Request Forgery — «Подделка межсайтовых запросов», также известен как XSRF) . Иными словами- это вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника) и так далее.


Позже появились данные о том, что CSRF связан с плагином Adobe Flash Player, точнее тем, как он обрабатывает некоторые виды Flash-контента. На прошлой неделе сама Adobe выпустила новую версию Flash Player, но в компании ничего не сообщили о том, связана ли новая версия с уязвимостью CSRF, о которой говорит Mozilla. Так или иначе, но разработчик браузера заявляет, что компания в ближайшей стабильной версии устранит уязвимость, которая проявляется при возникновении "определенных комбинаций браузерных плагинов и HTTP-редиректов". Используя эту уязвимость, потенциальный атакующий может создать условия не только для злонамеренного редиректа (перенаправление) на заданные сайты, но и обрушить браузер, открыв систему для атаки.