Derfor trak Mozilla pludselig Firefox 16 tilbage

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Computerworld News Service: Mozilla tog onsdag det usædvanlige skridt at stoppe distributionen af Firefox 16 en enkelt dag efter frigivelsen af denne nye version af browseren.

Det skete ifølge Mozilla på grund af en kritisk sårbarhed.

Fejlen var tilsyneladende blevet overset af Mozilla under udviklingen af Firefox 16 eller introduceret af de nye rettelser.

"Mozilla er opmærksom på en sikkerhedssårbarhed i den aktuelle version af Firefox (version 16). Firefox version 15 er upåvirket," kommenterer Michael Coates, der er director of security assurance hos Mozilla, i et indlæg onsdag på organisationens sikkerhedsblog.

Mozilla frigav tirsdag Firefox 16, som lukkede 24 sårbarheder, hvoraf 21 var kategoriseret som "kritiske," hvilket er open source-udviklerens højeste trusselsvurdering.

Coates' kommentar om, at Firefox 15 ikke indeholder fejlen, tyder på, at sårbarheden blev introduceret i udviklingen af den nye version af browseren.

Sårbarheden er blevet tildelt #799952 i Mozillas ændrings- og fejldatabase Bugzilla. Som det er Mozillas normale praksis for åbne sårbarheder, er detaljerne for denne fejl ikke offentligt tilgængelige. Dette Bugzilla-nummer stemmer heller ikke overens med nogen af de 24 sårbarheder, der blev lukket tirsdag.

Brug for hasteopdatering

Coates nævner ikke, hvornår Mozilla blev opmærksom på den nye sårbarhed, eller hvordan den blev opdaget.

Notaterne fra et møde hos Mozilla viser dog, at organisationen i det mindste kendte til sårbarheden onsdag klokken 20 dansk tid.

På dette tidspunkt oplyste Mozilla til udviklerne, at der ville være brug for en hasteopdatering, hvilket Mozilla kalder et "chemspill."

For at være på den sikre side trak Mozilla derfor Firefox 16 tilbage fra det primære download-side og stoppede med at levere den nye version som en opdatering, selvom der ikke var noget, der tydede på, at sårbarheden blev udnyttet i faktiske angreb.

Ars Technica rapporterede dog senere på aftenen onsdag, at Mozillas sekundære download-side stadig tilbød Firefox 16.

Firefox 16 blev på et tidspunkt torsdag genudgivet med en ekstra rettelse og er nu almindeligt tilgængelig som version 16.0.1.

Mozilla har før været nødt til at genudgive en version af Firefox. Det skete også i december 2011 med Firefox 9 en enkelt dag efter udgivelsen.

Dette er dog første gang, Mozilla har trukket en version af Firefox tilbage på grund af en sårbarhed.

Oversat af Thomas Bøndergaard