Разработчики Mozilla опубликовали экстренное уведомление, указывающее на наличие в Firefox 3.5.x и 3.6.x неисправленной критической "0-day" уязвимости, для которой зафиксированы факты эксплуатации. Уязвимость используется в сети для распространения троянского ПО, которое активируется на машине пользователя при открытии web-страницы, содержащей специально оформленный блок кода. Информация о процессе исправления ошибки и ее сути пока доступна только для зарегистрированных разработчиков Mozilla.

Примечательно, что троянское ПО распространяется через вполне благонадежные сайты, атакованные злоумышленниками. Например, атакующий код был размещен на сайте Нобелевской премии мира (сайт уже почищен). Так как вредоносный код остается на некоторых других сайтах в сети, пользователям рекомендуется до выхода официального обновления отключить JavaScript в настройках или установить дополнение NoScript. Информации о числе зараженных сайтов и пострадавших пользователей пока нет.

Согласно отчету антивирусной компании Trend Micro, вредоносное ПО поражает только Firefox 3.6.x в сборке для платформы Windows. При обнаружении запроса с браузера, запущенного в Windows 7, Windows Server 2008 или Windows Vista, вредоносное ПО по каким-то причинам не активирует троянский код, который выполняется только для Windows 2000/2003 Server/XP. После поражения, в систему устанавливается бэкдор BKDR_NINDYA.A, периодически опрашивающий ряд внешних серверов (используется 443 порт) на предмет получения управляющих команд.

Дополнение: выпущены обновления Firefox 3.6.12 и 3.5.15 с устранением данной уязвимости (переполнение кучи при одновременной смешанной вставке данных через document.write и appendChild).