Датская фирма Secunia еще в прошлом месяце распространила инструкцию по безопасности, в которой черным по белому было написано о существовании критической уязвимости в браузере soft.mydiv.net, однако компания Mozilla буквально до последнего момента отрицала даже возможность столь серьезного прокола в своем детище. Теперь же на официальном сайте компании можно ознакомиться с информацией, согласно которой уже в следующую версию браузера Firefox 3.6.2, выход которой запланирован на 30 марта, будет включен патч, устраняющий уязвимость.В начале февраля этого года российский исследователь, основатель московской фирмы InteVyDis, Евгений Легеров выпустил рабочий эксплойт, который позволял удаленно запускать произвольный код на компьютере с браузером Firefox 3.6. на базе Windows XP SP3 и Windows Vista. Интересно, что код эксплойта включили в программу VulnDisco, являющуюся расширением платного инструментария Immunity Canvas, созданного для имитации кибератак. Кстати, Легеров придерживается политики, согласно которой его компания не обязана уведомлять разработчиков о найденных «дырах» в их программах до публикации кода эксплойта, так что для Mozilla эта новость стала столь же неожиданной, как и для остального мира. По словам главы компании InteVyDis, практика уведомления поставщиков об обнаруженных уязвимостях является эквивалентом бесплатной работы.
После публикации доклада Secunia, Mozilla прокомментировала эту информацию как беспочвенные слухи на том основании, что ими не было получено никаких сведений на этот счет, именно поэтому Secunia обвинили в распространении ложных данных. Однако уже 19 марта в Security blog Mozilla подтвердила, что проблема безопасности оказалась весьма реальной. «Уязвимость была признана критической и может привести к удаленному выполнению кода злоумышленников. Уязвимость была исправлена разработчиками, и мы в настоящее время проводим испытания патча, устраняющего ошибку», - заявляют в компании.

В Secunia также посчитали своим долгом отреагировать на ситуацию: «Мы считаем, что Евгений Легеров является надежным источником информации, он уже сотрудничал с нами в ряде случаев, когда возникала необходимость получения дополнительных сведений в ходе осуществляемой нами проверки. Кроме нас, Легеров сотрудничает и с другими игроками в отрасли безопасности и программного обеспечения. До этого момента он ни разу не дал нам повод усомниться в его квалификации, а потому мы и далее будем продолжать рассматривать его сообщения о найденных уязвимостях как заслуживающие доверия».