De Duitse overheid adviseert burgers geen Firefox te gebruiken totdat een zero-day beveiligingslek in de browser is gepatcht. De waarschuwing is afkomstig van BürgerCERT, onderdeel van het Bundesamt für Sicherheit in der Informationstechnik (BSI), dat eerder een soortgelijke waarschuwing gaf toen er een lek in Internet Explorer werd gevonden. In dit geval gaat het om een kwetsbaarheid in Firefox 3.6, die Mozilla pas na een maand bevestigde.

Het lek laat aanvallers zonder enige interactie van gebruikers systemen infecteren, behalve dat die een gehackte of kwaadaardige website moeten bezoeken. Mozilla heeft inmiddels al laten weten dat de patch voor het lek eind maart verschijnt. De BSI adviseert gebruikers, tot het uitkomen van de update, om op een alternatieve browser over te stappen.

De Nederlandse Waarschuwingsdienst, die tegenwoordig ook voor zero-day lekken waarschuwt, heeft nog niets over de kwetsbaarheid op de website staan.

Update 15:20
GOVCERT woordvoerster Ella Broos laat tegenover Security.nl weten dat er nog te weinig details over het lek bekend zijn en het nog niet misbruikt wordt. Een waarschuwing is dan ook voorbarig, aldus Broos. Mocht de situatie dreigend worden, dan zal de Waarschuwingsdienst niet aarzelen om te waarschuwen, zo merkt ze op.

De woordvoerster vermoedt dat de Duitse waarschuwing op de blogposting van Mozilla is gebaseerd, waarin het meldt dat de patch voor 30 maart gepland staat.