Si tous les navigateurs, sauf Chrome, ont succombé aux attaques des experts de la CanSecWest, Firefox est toujours le plus rapide à réagir. Son éditeur, Mozilla, vient en effet de publier une mise à jour qui comble précisément la faille exploitée lors du concours de piratage Pwn2Own.

Quelques jours après que le concours Pwn2Own a démontré la vulnérabilité de son navigateur Firefox, Mozilla avait été le premier éditeur à promettre une mise à jour de sécurité. C'est chose faite depuis le 27 mars, avec la mise en ligne de Firefox 3.0.8, disponible avec près d'une semaine d'avance sur le planning. Outre la faille exploitée lors du Pwn2Own, cette mise à jour fournit également une rustine pour une vulnérabilité dévoilée par le site Milw0rm.com le 25 mars dernier. La première faille se nichait dans l'interface utilisateur XML de Firefox et permettrait à un attaquant de faire tourner des programmes malveillants sur l'ordinateur de sa victime. A la suite de son utilisation par l'un des vainqueurs de Pwn2Own, Mozilla avait restreint l'accès à Bugzilla (son outil de suivi et sa base de données des bugs connus) pour éviter d'en ébruiter tous les détails. La deuxième faille permettait à une feuille de style XSL liée à un site Web de bloquer Firefox et de télécharger par ce biais du contenu malveillant sur le PC du visiteur.

La mise à jour 3.0.8 est disponible pour toutes les déclinaisons de Firefox (Windows, Linux ou Mac OS X). La suite d'application, SeaMonkey, qui regroupe un navigateur, un logiciel de messagerie, un éditeur HTML, des outils de développement Web et un client IRC, bénéficie également de ces rustines. Les utilisateurs qui n'ont pas paramétré les mises à jour automatiques de ces deux logiciels sont invités à télécharger les nouvelles versions.
Les autres failles découvertes à l'occasion du Pwn2Own restent, à ce jour, béantes.