Mozilla opravuje 12 chyb ve Firefoxu, 8 kritických

Zajímavé jsou opravy typu „binary planting“, které se někdy ztotožňují s možností podvrhnout DLL soubor. Zranitelnost v tomto případě spíše připomíná známý Autorun, nicméně ke spuštění kódu stačilo, aby uživatelé Firefoxu navštívili podvodný web


Mozilla vydala opravy 12 chyb ve Firefoxu, z toho 8 bylo kritických a umožňovalo útočníkovi instalaci malwaru na napadený počítač. Zajímavé jsou opravy typu „binary planting“, které se někdy ztotožňují s možností podvrhnout DLL soubor.

Podle Mozilly se ale jedná o dva různé typy zranitelností. Zranitelnost spočívající v nespecifikované přesné cestě ke knihovnám DLL již ve Firefoxu byla opravena dříve ve verzi 3.6.9 (Firefox 3.6.9 řeší problém s podvržením souboru DLL, zajímavé je, že volání knihoven bylo třeba opravit i v linuxové verzi prohlížeče). Chyba binary planting ale s voláním dynamicky propojených knihoven (ani spustitelných souborů) přímo nesouvisí. Aplikace nemusí pátrat po žádném souboru, zranitelnost v tomto případě spíše připomíná známý Autorun (automatické spuštění), nicméně ke spuštění kódu stačilo, aby uživatelé Firefoxu navštívili podvodný web.

Ve Firefoxu byla zalátána i chyba způsobující problém s certifikáty SSL, zranitelnost proti útokům cross-site scripting (XSS) a možnost narušení paměti v enginu prohlížeče. Oprav se dočkaly i jiné než bezpečnostní chyby, třeba problém s funkcí „out of process plug-ins“ uvedené poprvé ve verzi 3.6.4; ta má chránit prohlížeč, aby nezhavaroval při pádu nejpoužívanějších plug-inů (přehrávač Flash, MS Silverlight, QuickTime...). Funkce OOPP ale naopak za určitých okolností způsobovala, že obsah ve formátu Flash nešel přehrát.

Nová verze Firefoxu má číslo 3.6.11 a měla by se již nabízet prostřednictvím automatických aktualizací. Řada 3.5 byla aktualizována na verzi 3.5.14, ačkoliv Mozilla původně slibovala podporu a vydávání oprav jen do letošního srpna. Podle statistik společnosti Net Applications má ale řadu 3.5 stále až 14 % ze všech uživatelů Firefoxu.

 

Mozilla vydala opravy 12 chyb ve Firefoxu, z toho 8 bylo kritických a umožňovalo útočníkovi instalaci malwaru na napadený počítač. Zajímavé jsou opravy typu „binary planting“, které se někdy ztotožňují s možností podvrhnout DLL soubor.

Podle Mozilly se ale jedná o dva různé typy zranitelností. Zranitelnost spočívající v nespecifikované přesné cestě ke knihovnám DLL již ve Firefoxu byla opravena dříve ve verzi 3.6.9 (Firefox 3.6.9 řeší problém s podvržením souboru DLL, zajímavé je, že volání knihoven bylo třeba opravit i v linuxové verzi prohlížeče). Chyba binary planting ale s voláním dynamicky propojených knihoven (ani spustitelných souborů) přímo nesouvisí. Aplikace nemusí pátrat po žádném souboru, zranitelnost v tomto případě spíše připomíná známý Autorun (automatické spuštění), nicméně ke spuštění kódu stačilo, aby uživatelé Firefoxu navštívili podvodný web.

Ve Firefoxu byla zalátána i chyba způsobující problém s certifikáty SSL, zranitelnost proti útokům cross-site scripting (XSS) a možnost narušení paměti v enginu prohlížeče. Oprav se dočkaly i jiné než bezpečnostní chyby, třeba problém s funkcí „out of process plug-ins“ uvedené poprvé ve verzi 3.6.4; ta má chránit prohlížeč, aby nezhavaroval při pádu nejpoužívanějších plug-inů (přehrávač Flash, MS Silverlight, QuickTime...). Funkce OOPP ale naopak za určitých okolností způsobovala, že obsah ve formátu Flash nešel přehrát.

Nová verze Firefoxu má číslo 3.6.11 a měla by se již nabízet prostřednictvím automatických aktualizací. Řada 3.5 byla aktualizována na verzi 3.5.14, ačkoliv Mozilla původně slibovala podporu a vydávání oprav jen do letošního srpna. Podle statistik společnosti Net Applications má ale řadu 3.5 stále až 14 % ze všech uživatelů Firefoxu.

 











Komentáře