Критическая уязвимость была представлена одним из участников американского соревнования Pwn2Own. По условиям этого соревнования, все участники, обходящие системы безопасности браузеров, не имеют права разглашать технические данные об уязвимости и не имеют права сообщать о ней в интернете до тех пор, пока производитель не устранит ее.

В Mozilla говорят, что уязвимость действительно носит критический характер и ее эксплуатация может привести к выполнению произвольного кода на компьютере-жертве. Сообщается, что в тестовой версии Firefox уязвимость уже ликвидирована, но в производственной все еще присутствует.

Критическую уязвимость обнаружил российский исследователь Евгений Легеров, который еще около месяца назад представил свои данные на форуме Immunity. Легеров работает на московскую компанию Intevydis. До сих пор он не публиковал код и вначале даже отказался предоставить его на рассмотрение Mozilla.

Впрочем, вчера в Mozilla заявили, что российский специалист предоставил им "значимые детали и подробную информацию для анализа".

Ожидается, что исправление будет доступно 30 марта в версии Firefox 3.6.2 (сейчас оно есть в бета-версии этого браузера).