Mozilla heeft een patch uitgebracht die een lek in Firefox en Thunderbird moet dichten. Volgens de organisatie was een speciaal vervaardigde afbeelding voldoende voor een succesvolle aanval op gebruikers.
Volgens Mozilla bevat libpng, de verzameling code die browsers gebruiken voor het omgaan met png-afbeeldingen, een kwetsbaarheid die integer overflows mogelijk maakt. Gevolg is dat kwaadwillenden speciale afbeeldingen kunnen fabriceren waarmee ze malware het systeem van slachtoffers kunnen binnensmokkelen. Alleen al het weergeven van dergelijke afbeeldingen op een website in Firefox, of een e-mail in Thunderbird zou voldoende zijn voor een succesvolle aanval.
Mozilla heeft vrijdag versie 10.0.2 van Firefox uitgebracht, waarin de CVE-2011-3026-kwetsbaarheid, die door Red Hat gemeld werd, verholpen is. Woensdag rolde Google al een nieuwe versie van zijn browser uit om hetzelfde lek te dichten. De beveiligingsonderzoeker die het kritieke lek meldde kreeg er 1337 dollar voor van Google en de patch maakte onderdeel uit van de update naar Chrome 17.0.963.56. Onduidelijk is of de libpng-kwetsbaarheid in de praktijk misbruikt wordt en of meer browsers kwetsbaar zijn.