Mozilla Foundation wydała Firefoksa w wersjach 3.0.14 i 3.5.3, w których naprawiono wiele krytycznych luk w zabezpieczeniach wykrytych w poprzedniej edycji.
Problemy
Błąd w FeedWriterze pozwalał potencjalnemu napastnikowi na wykonanie kodu JavaScript w przeglądarce ofiary jako powłoka Chrome, a więc z najwyższymi uprawnieniami. Poza tym błąd w zarządzaniu kolumnami elementów konstrukcyjnych XUL mógł zostać wykorzystany do manipulacji kursorem, w wyniku czego intruz był w stanie uruchomić przemycony wcześniej kod. W tym celu wystarczyło jedynie, aby ofiara odwiedziła odpowiednio spreparowaną stronę.
Poza tym w nowych wersjach wyeliminowano ogółem siedem potencjalnie dających się wykorzystać błędów w obsłudze pamięci, które programiści oznaczyli jako krytyczne. Oprócz tego zlikwidowano lukę umożliwiającą podszywanie się polegające na wyświetlaniu fałszywych łańcuchów URL z użyciem określonych znaków Unicode. Wersja 3.0.1. koryguje też błąd przy instalacji i usuwaniu modułów PKCS#11 służących do dostępu do kryptograficznych tokenów. Okna dialogowe najwyraźniej nie były wystarczająco jednoznaczne, dlatego napastnik mógł skłonić ofiarę do zainstalowania zmanipulowanego modułu.
Obie wersje Firefoksa w momencie uruchomienia będą także ostrzegały o przestarzałych wersjach plug-inów Flash. Większość użytkowników używa wersji Adobe Flasha narażonych na ataki, stanowiąc tym samym doskonały cel dla przestępców –. takie są wyniki opublikowanej niedawno analizy firmy Trusteer. Niewykluczone, że dzięki tej funkcji sytuacja ulegnie zmianie.
Rozwiązanie
Instalacja najnowszych wydań eliminuje opisywane problemy. Mozilla Foundation zaleca też użytkownikom Firefoksa 3.0.x szybką przesiadkę na edycje z serii 3.5.x. Pomoc techniczna dla poprzedniej wersji zakończy się w styczniu 2010 roku.
wydanie internetowe www.heise-online.pl
