Mozilla macht auf Microsoft und will bis zum 30.3. warten, bevor sie einen Patch gegen eine bekannte Sicherheitslücke (Secunia Advisory 38608) offiziell veröffentlichen. Die kritische Lücke, die das Einschleusen von Schadcode erlaubt, war seit längerem bekannt, der Entdecker hat sie aber erstmal nur gegen Geld verkauft, sodass das Mozilla-Team nicht wusste, wo das Problem liegt. Ein Release Candidate, der das Problem behebt, ist schon verfügbar. Da somit der Code im Repo liegen dürfte, dürfte einem Angreifer ein Diff zwischen 3.6.0 und 3.6.2 sagen, wo die Lücke liegt, ein rasches Update ist also angesagt.

Advertisements