« Cette vulnérabilité peut être qualifiée comme critique, car elle permet l'envoi de code exécutable par des pirates » explique Mozilla sur son blog dédié à la sécurité jeudi dernier. « La faille a été réparée par les développeurs mais nous sommes encore en train de tester notre patch ».Lancée en janvier dernier, Firefox 3.6 passera donc à la version 3.6.2  avec cette mise à jour prévue pour le  30 Mars. Mozilla préconise d'ici là de télécharger, sur son site officiel, la version bêta de Firefox 3.6.2. Les versions 3.5 (avec la mise à jour 3.5.9) et 3.0 (avec  3.0.19 ) devraient également être corrigées. Lancée mi-2008, cette version 3.0 subira sa toute dernière mise à jour de sécurité. 

Un correctif un peu tardif

Découverte il y a un mois par par le chercheur russe Evgeny Legerov, cette faille a fait l'objet d'une mini-polémique puisque, introuvable par Mozilla et non-dévoilée dans les détails par le programmeur russe, elle avait d'abord été considérée comme une fausse alerte. Cette découverte tardive ne devrait cependant pas être lourde de conséquences, à l'exception du Pwn2Own 2010, le concours annuel du piratage des sécurités informatiques, qui débutera le 24 mars pour la section navigateurs. Apple et Google ont récemment mis à jour leurs navigateurs Safari et Chrome, mais ce tournois à 10 000 dollars démarrera avec une version non corrigée de Firefox.

« Nous auront toute notre équipe de programmeurs sur le site et  nous pourront donc faire de notre mieux pour faire en sorte que la faille n'apparaisse pas lors du concours » explique Aaron Portnoy, un chef de l'équipe de recherche avec 3Com Tipping Point, la firme organisatrice de cette quatrième édition de la recherche du meilleur hacker.