Både Google og Mozilla har kommet med sikkerhetsoppdateringer av henholdsvis Chrome og Firefox. I disse oppdateringene fjernes sårbarheten som først ble kjent for de to aktørene et knapt døgn i forveien, under Pwn2Own-konkurransen som denne uken arrangeres i forbindelse med CanSecWest-konferansen i Vancouver, Canada.
I konkurransen ble både Chrome, Firefox og Internet Explorer 10 knekket.
Google skriver at det i Chrome 25.0.1364.160 for Windows, OS X og Linux fjernes en sårbarhet knyttet til typeforvirring i WebKit. Denne karakteriseres som høyst alvorlig. Siden det dreier seg om en WebKit-sårbarhet, kan den også berører blant annet Apple Safari.
Mozilla skriver at stiftelsen har fjernet en «use-after-free»-sårbarhet fra HTML-redigeringsverktøyet i Firefox. Denne er knyttet til document.execCommand()-funksjonen og kan åpne for kjøring av vilkårlig kode. Sårbarheten er fjernet i Firefox 19.0.2, men også fra flere andre Mozilla-produkter.
Microsoft kunngjorde i går at selskapet først kommende tirsdag blant annet kommer med en sikkerhetsoppdatering til Internet Explorer 6 og nyere. IE10 for Windows 7 er ikke berørt, i motsetning til alle andre utgaver av nettleseren. Det tyder på at sikkerhetshullene som fjernes, allerede var kjente for selskapet da IE10 for Windows 7 ble gitt ut i slutten av februar.
Dermed er det lite sannsynlig at tirsdagen runde med sikkerhetsoppdateringer – som også omfatter seks andre sikkerhetsoppdatering til Microsoft-produkter – fjerner sårbarheten som ble utnyttet av VUPEN for å omgå sikkerheten i IE10 under Pwn2Own.
Les også:
- [14.03.2014] Ingen nettlesere besto testen
- [10.04.2013] Fjernet ikke kjent IE-sårbarhet
- [08.03.2013] Chrome OS lot seg ikke knekke
- [07.03.2013] Java knekket tre ganger på en dag
