Au mois de février dernier, un chercheur russe en sécurité informatique avait annoncé la découverte d'une vulnérabilité de sécurité 0-day affectant le navigateur Firefox 3.6. Evgeny Legerov s'était montré néanmoins avare en détails, refusant notamment d'en dire plus à Mozilla.

Cet étrange mutisme critiqué par Mozilla n'avait pas empêché la société Secunia d'émettre un avis de sécurité hautement critique au sujet de cette faille. Reste que cette manière de procéder faisait planer un doute quant à la réalité de cette dernière.

Evgeny Legerov a fini par prendre contact avec Mozilla pour communiquer suffisamment de détails afin que le problème puisse être reproduit et analysé. Mozilla confirme ainsi une vulnérabilité critique qui peut être exploitée pour l'exécution de code à distance par un attaquant.

Ce problème de sécurité est propre à la version 3.6 de Firefox et les versions antérieures ne sont pas affectées. Mozilla ne s'étend pas sur le sujet mais indique que le bug de sécurité en question a d'ores et déjà été comblé. Cette correction sera intégrée dans la prochaine version de maintenance de Firefox 3.6 qui sera estampillée 3.6.2 ( pas de 3.6.1 ? ) et sera publiée le 30 mars 2010.