Você já viu uma demonstração ao vivo de uma dessas vulnerabilidades críticas que o Firefox publica? É possível executar um programa (ou seja, Bloco de Notas) ou baixar/instalar um novo, sem intervenção do usuário, apenas visitando uma URL? É o que a Mozilla garante nos avisos de segurança. https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/ Já pedi ajuda em outros sites e até ofereci uma recompensa, mas não tive essa sorte. Observe que não estou falando de um novo exploit não publicado, só quero ver um daqueles bugs que são públicos. Nem preciso ver o código-fonte, apenas uma demonstração ao vivo. A última demonstração desse tipo que vi foi em 2000, afetando o IE 5.http://www.guninski.com/chmtemp-desc.html
Responder1
Não, não é um mito. Explorar banco de dadosé o melhor lugar para encontrar ataques de prova de conceito para vulnerabilidades divulgadas publicamente. Obviamente, nem todas as vulnerabilidades são publicadas lá, mas muitas são publicadas - a última que estou vendo no Firefox édesde abril do ano passado.
Outra boa fonte de.. prova?.. de vulnerabilidades nos principais navegadores é a competição Pwn2Own; que no ano passado teve 4 ataques diferentes de dia zero usados contra o Firefox.