Mozilla vydá odloženou bezpečnostní opravu Firefoxu

Mozilla by zítra měla vydat aktualizace Firefoxu 3.5 a 3.6, které mj. opraví bezpečnostní problém zneužitelný pomocí podvodného souboru ve formátu Flash.


Nové verze Firefoxu budou mít čísla 3.5.17 a 3.6.14. Opravy se původně měly objevit už v polovině února, ale Mozilla při jejich testování zjistila, že ohrožovaly stabilitu prohlížeče, takže je bylo třeba přepracovat a jejich vydání odložit.

Nejdůležitější by mělo být zalátání bezpečnostní díry, která umožňuje útok typu cross site scripting (cross-site request forgery, CSFR). Zneužití se dá provést pomocí speciálně upraveného souboru ve formátu Flash; samotná chyba je ale na straně Firefoxu, ne u Adobe. Napadnout šlo tímto způsobem jak koncového uživatele (nepozorované přesměrování http požadavků), tak i webové aplikace postavené na frameworku Ruby on Rails.

Problém je obsažen i v beta verzi Firefoxu 4 a podle všeho by mohl jít zneužít i v dalších webových prohlížečích – konkrétně Chrome a Safari (na Windows i MacOS X). Na CSFR zranitelnost jako první přišli bezpečnostní specialisté Googlu. Zatím ale údajně nebyly zaznamenány žádné útoky zero day.

Mozilla vydává aktualizace mj. i proto, že příští týden se odehraje populární lámání prohlížečů na hackerské konferenci CanSecWest skupiny Pwn2Own. Mimochodem - loni byla v době konání akce známá jedna bezpečnostní zranitelnost Firefoxu a organizátoři se rozhodli její zneužití „nepočítat“.

 

 

 











Komentáře