Mozilla патчи 10 уязвимостей Firefox 3.5
В четырех отдельных наборах исправлений Firefox 3.5.3 исправил в общей сложности 10 недостатков, большинство из которых-проблемы стабильности в браузере приложения и движках рендеринга JavaScript, некоторые из которых, по словам Mozilla, могут быть использованы хакерами.
Четыре из семи уязвимых мест, описанных в MFSA 2009-47 консультативные производят сбои движка браузера, в то время как другие три сбоят новый движок JavaScript TraceMonkey Firefox. "Некоторые из этих сбоев показали признаки повреждения памяти при определенных обстоятельствах, и мы предполагаем, что при достаточных усилиях по крайней мере некоторые из них могут быть использованы для запуска произвольного кода", - признал консультант, используя шаблонный язык, который Mozilla часто использует для описания критических ошибок.
Mozilla рекомендовала пользователям отключить JavaScript в Firefox, если они не могут или не хотят исправлять браузер.
В трех других рекомендациях были указаны критические уязвимости в функции RSS Firefox и в языке XML Mozilla, XUL (XML User Interface Language), который используется для создания веб-приложений, способных работать в автономном режиме; и ошибка подмены URL-адресов, которую компания оценила как "низкую", наименее опасную из четырехступенчатой системы оценки фирмы.
Только две из 10 уязвимостей были обнаружены сторонними исследователями; собственные разработчики Mozilla или инженеры по безопасности выкорчевали остальные. Один из двух, о которых сообщили посторонние, был взят из инициативы 3Com TippingPoint Zero Day Initiative, баунти-программы, которая платит людям за сдачу ошибок.
Mozilla также исправила версию Firefox 2008 года в среду, обновив эту версию до версии 3.0.14, поскольку она исправила 11 недостатков, только один из которых был уникален для более старой версии.
Об этой уязвимости говорится в сопроводительном рекомендательном письме Mozilla, может быть использован злоумышленниками, чтобы обмануть пользователя в установке вредоносного модуля безопасности в браузере. Mozilla оценила ошибку как" умеренную " угрозу.
По данным Mozilla, Дэн Камински из IOActive, исследователь, наиболее известный как первооткрыватель уязвимости DNS (сервера доменных имен) в июле 2008 года, сообщил, что Firefox 3.0 остается уязвимым для возможных удаленных атак с использованием вредоносных модулей безопасности. Исследование Каминского также было связано с парой патчей, которые Mozilla выпустила в прошлом месяце для Firefox.
Часы тикают на Firefox 3.0. Mozilla будет предоставлять обновления безопасности для 15-месячного браузера только до января 2010 года.
Обновления среды положили начало новому плану Mozilla по проверке устаревших плагинов, популярных как у пользователей, так и у злоумышленников. После обновления Firefox до версии 3.5.3 или 3.0.14 новый браузер обнаруживает плагин Flash Player, если он присутствует, а затем предупреждает пользователей, если это не самая последняя версия.
Mozilla хочет расширить проверку плагинов в Firefox 3.6, который в настоящее время поставляется в ноябре, чтобы обнаружить устаревшие версии QuickTime от Apple; Flash, Shockwave и Reader от Adobe; Silverlight от Microsoft; и Java от Sun.
Firefox 3.5.3 и 3.0.14 можно загрузить для Windows, Mac OS X и Linux, но текущие пользователи также могут вызвать инструменты обновления браузеров или дождаться появления автоматических уведомлений об обновлении в течение следующих 48 часов.
Автор: Keylogger.Org Команда