Le lendemain de la publication de mises à jour de maintenance pour d'anciennes versions de Firefox, la trouvaille supposée d'un chercheur russe en sécurité informatique est remontée à la surface du Web. La mouture 3.6 du navigateur ( voire d'autres ) souffrirait d'une vulnérabilité 0-day.

Pour cette dernière, Evgeny Legerov de la société Intevydis a réalisé un code exploit proposé en tant que module pour VulnDisco Pack qui est commercialisé pour un outil de test de pénétration vendu par Immunity. Cet exploit serait valide sous Windows XP ( SP3 ) et Windows Vista.

La société Secunia a publié jeudi un avis de sécurité peu détaillé avec un niveau de dangerosité hautement critique ( échelle 4 sur 5 ). La vulnérabilité dans Firefox peut être exploitée par un attaquant distant pour compromettre le système d'un utilisateur.

Alors que d'aucuns établissent déjà un parallèle avec des plantages constatés depuis février avec Firefox 3.6, Mozilla a critiqué la méthode. Dans une réponse transmise à The Register, Mozilla indique traiter toutes les vulnérabilités de sécurité avec sérieux, et n'a pas encore été en mesure de confirmer un exploit. Mais surtout, Mozilla demande à tous les chercheurs en sécurité d'adopter une attitude responsable dans la divulgation de vulnérabilités afin de pouvoir protéger au préalable les utilisateurs.

Une manière très polie de dire que Mozilla n'a pas du tout apprécié l'attitude de Evgeny Legerov. Quant à l'avis de Secunia, il se base sur un rapport non confirmé.

Au sujet des mises à jour de sécurité de Firefox, Mozilla s'est basé sur l'étude de 176 bugs rapportés entre décembre 2007 et janvier 2010 pour dégager une tendance. Les mises à jour introduisent de moins en moins de régressions, à savoir de nouveaux bugs.