Mozilla patchs 10 Firefox 3.5 vulnérabilités
Mozilla mercredi patché 10 failles de sécurité dans Firefox 3.5, tous, sauf un, classé critique, comme il a livré la première mise à jour qui vérifie automatiquement les anciennes versions de la très populaire plug-in Flash Player.
En quatre ensembles distincts de patchs, Firefox 3.5.3 fixe à 10 le nombre total de défauts, la majorité d'entre eux des problèmes de stabilité dans l'application du navigateur et JavaScript des moteurs de rendu, certains Mozilla dit qu'elle pourrait être exploitée par des pirates.
Quatre des sept vulnérabilités décrites dans la MFSA 2009-47 consultatif produire du moteur de navigateur se bloque, tandis que les trois autres crash de Firefox nouveau moteur JavaScript TraceMonkey. "Certains de ces accidents ont montré des preuves de corruption de la mémoire, dans certaines circonstances, et l'on présume qu'avec assez d'effort au moins certains de ces pourrait être exploitée pour exécuter du code arbitraire," le comité consultatif a reconnu, à l'aide de phrases toutes faites Mozilla utilise souvent pour décrire les bogues critiques.
Mozilla recommandé aux utilisateurs de désactiver le JavaScript dans Firefox, si elles étaient incapables ou ne veulent pas patcher le navigateur.
Trois autres avis énoncés critiques vulnérabilités dans Firefox RSS de fonction et dans Mozilla langage basé sur XML, XUL (XML User Interface Language), qui est utilisé pour créer des applications Web capable de fonctionner en mode hors connexion; et une URL de l'usurpation d'identité bug la société classé comme "faible", la moins dangereuse de l'entreprise, en quatre étapes, système de notation.
Seulement deux des 10 des vulnérabilités ont été découvertes par des chercheurs de l'extérieur; Mozilla développeurs ou ingénieurs de sécurité enracinée le reste. L'un des deux signalés par des étrangers venus de 3Com TippingPoint est Zero Day Initiative, un programme de primes qui paie les gens pour tourner dans les bugs.
Mozilla a également corrigé l'édition 2008 de Firefox, mercredi, la mise à jour que la version 3.0.14 tant qu'il fixe 11 failles, un seul de ce qui était unique à l'ancienne édition.
Que la vulnérabilité, dit Mozilla dans l' accompagnement consultatif pourrait être utilisé par des attaquants afin de tromper l'utilisateur dans l'installation d'un malveillant module de sécurité dans le navigateur. Mozilla a classé le bug comme un "modéré" de la menace.
Selon Mozilla, Dan Kaminsky d'IOActive, un chercheur, mieux connu comme le découvreur de la DNS (Domain Name Server) de la vulnérabilité en juillet 2008, a signalé que Firefox 3.0 demeure vulnérable à d'éventuelles attaques à distance à l'aide de malveillant modules de sécurité. Kaminsky de recherche a également été impliqué dans une paire de patchs Mozilla lancé le mois dernier pour Firefox.
L'horloge tourne sur Firefox 3.0. Mozilla ne peut fournir des mises à jour de sécurité pour les 15-month-old navigateur uniquement jusqu'en janvier 2010.
Mercredi mises à jour du coup d'envoi d'une nouvelle Mozilla plan de vérification pour les anciennes plugins qui sont populaires auprès des utilisateurs et des attaquants. Après la version est mis à jour pour 3.5.3 ou 3.0.14, le nouveau navigateur détecte le plug-in Flash Player, si elle est présente, puis met en garde les utilisateurs, si ce n'est pas les plus up-to-date de l'édition.
Mozilla veut élargir le plug-in case dans Firefox 3.6, qui est actuellement fixé à navire en novembre, afin de détecter les anciennes versions de QuickTime d'Apple, Adobe Flash, Shockwave et le Lecteur; Microsoft Silverlight; et Java de Sun.
Firefox 3.5.3 et 3.0.14 peut être téléchargé pour Windows, Mac OS X et Linux, mais les utilisateurs peuvent également appeler les navigateurs de mise à jour des outils, ou d'attendre la mise à jour automatique des notifications apparaissent dans les prochaines 48 heures.
Date de publication: En quatre ensembles distincts de patchs, Firefox 3.5.3 fixe à 10 le nombre total de défauts, la majorité d'entre eux des problèmes de stabilité dans l'application du navigateur et JavaScript des moteurs de rendu, certains Mozilla dit qu'elle pourrait être exploitée par des pirates.
Quatre des sept vulnérabilités décrites dans la MFSA 2009-47 consultatif produire du moteur de navigateur se bloque, tandis que les trois autres crash de Firefox nouveau moteur JavaScript TraceMonkey. "Certains de ces accidents ont montré des preuves de corruption de la mémoire, dans certaines circonstances, et l'on présume qu'avec assez d'effort au moins certains de ces pourrait être exploitée pour exécuter du code arbitraire," le comité consultatif a reconnu, à l'aide de phrases toutes faites Mozilla utilise souvent pour décrire les bogues critiques.
Mozilla recommandé aux utilisateurs de désactiver le JavaScript dans Firefox, si elles étaient incapables ou ne veulent pas patcher le navigateur.
Trois autres avis énoncés critiques vulnérabilités dans Firefox RSS de fonction et dans Mozilla langage basé sur XML, XUL (XML User Interface Language), qui est utilisé pour créer des applications Web capable de fonctionner en mode hors connexion; et une URL de l'usurpation d'identité bug la société classé comme "faible", la moins dangereuse de l'entreprise, en quatre étapes, système de notation.
Seulement deux des 10 des vulnérabilités ont été découvertes par des chercheurs de l'extérieur; Mozilla développeurs ou ingénieurs de sécurité enracinée le reste. L'un des deux signalés par des étrangers venus de 3Com TippingPoint est Zero Day Initiative, un programme de primes qui paie les gens pour tourner dans les bugs.
Mozilla a également corrigé l'édition 2008 de Firefox, mercredi, la mise à jour que la version 3.0.14 tant qu'il fixe 11 failles, un seul de ce qui était unique à l'ancienne édition.
Que la vulnérabilité, dit Mozilla dans l' accompagnement consultatif pourrait être utilisé par des attaquants afin de tromper l'utilisateur dans l'installation d'un malveillant module de sécurité dans le navigateur. Mozilla a classé le bug comme un "modéré" de la menace.
Selon Mozilla, Dan Kaminsky d'IOActive, un chercheur, mieux connu comme le découvreur de la DNS (Domain Name Server) de la vulnérabilité en juillet 2008, a signalé que Firefox 3.0 demeure vulnérable à d'éventuelles attaques à distance à l'aide de malveillant modules de sécurité. Kaminsky de recherche a également été impliqué dans une paire de patchs Mozilla lancé le mois dernier pour Firefox.
L'horloge tourne sur Firefox 3.0. Mozilla ne peut fournir des mises à jour de sécurité pour les 15-month-old navigateur uniquement jusqu'en janvier 2010.
Mercredi mises à jour du coup d'envoi d'une nouvelle Mozilla plan de vérification pour les anciennes plugins qui sont populaires auprès des utilisateurs et des attaquants. Après la version est mis à jour pour 3.5.3 ou 3.0.14, le nouveau navigateur détecte le plug-in Flash Player, si elle est présente, puis met en garde les utilisateurs, si ce n'est pas les plus up-to-date de l'édition.
Mozilla veut élargir le plug-in case dans Firefox 3.6, qui est actuellement fixé à navire en novembre, afin de détecter les anciennes versions de QuickTime d'Apple, Adobe Flash, Shockwave et le Lecteur; Microsoft Silverlight; et Java de Sun.
Firefox 3.5.3 et 3.0.14 peut être téléchargé pour Windows, Mac OS X et Linux, mais les utilisateurs peuvent également appeler les navigateurs de mise à jour des outils, ou d'attendre la mise à jour automatique des notifications apparaissent dans les prochaines 48 heures.
Auteur: Keylogger.Org L'Équipe
