Firefox 4 obsahoval kritickou programátorskou chybu

Společnost Mozilla v tomto týdnu vydala poprvé aktualizaci svého nového prohlížeče Firefox 4. Oprav se dočkaly ale i starší verze 3.6 a 3.5.


Mozilla konkrétně opravila ve Firefoxu 4 osm zranitelností, včetně poměrně závažného programátorského přehmatu, který nechával prohlížeč zranitelný pod nejnovějšími Windows 7 stejně jako pod 10 let starými Windows XP. Ve Firefoxu 3.6 pak bylo opraveno 15 zranitelností, dohromady ve všech verzích jde o 20 oprav (neboť některé jsou zjevně průnikové), přičemž celých 17 z nich bylo kritických. To je nejvyšší úroveň na žebříčku Mozilly a znamená možnost přímého exploitování chyby útočníky. Pro srovnání, v konkurenčním Chrome byly letos opraveny zatím jen tři kritické chyby, které umožňovaly překonat technologii sandboxu Googlu (ta odděluje běh aplikace od systémů), zatímco Firefox touto ochranou nedisponuje. V novém Firefoxu 4.0.1 pak bylo konkrétně opraveno 7 kritických chyb a jedna nízce nebezpečná.

Nejzásadnější opravou bylo odstranění programátorského přehmatu ve Firefoxu 4, který jej otevíral i méně sofistikovaným útokům. Šlo o to, že knihovny WebGLES ve verzi Firefoxu 4 pro Windows byly omylem zkompilovány bez podpory ASLR ochrany, takže uživatel mohl objevenou zranitelnost snáze exploitovat a na novějších operačních systémech jako jsou Windows 7 a Vista nebyla při útoku ASLR ochrana aktivována. Knihovny WebGLES podporují WebGL, což je rozšíření JavaScriptu, které umožňuje vývojářům na stránkách renderovat interaktivní 3D obsah. Technologie ASLR (address space layout randomization) je metoda zabezpečení, která ztěžuje útočníkům lokalizovat adresovatelný prostor v paměti, který by mohl být použit ke spuštění exploitů. Mozilla potvrzuje, že chybějící podpora ASLR ve WebGLES knihovnách umožňovala bezpečnostní mechanizmus novějších Windows obejít. Problém se týká vyloženě Firefoxu 4, protože starší verze tyto knihovny nevyužívaly.

Mozilla také vydala aktualizace Firefox 3.6.17 a 3.5.19, přičemž v případě Firefoxu 3.5 jde údajně již o poslední aktualizaci vůbec a uživatelé by proto měli starou verzi rychle opustit. Podle průzkumů jej používalo v minulém měsíci už jen asi 1,7 % uživatelů. Firefox 4.0.1 je ke stažení buď přímo z webu Mozilly ve verzi pro Windows, Linux a Mac OS a nebo lze využít automatickou kontrolu aktualizací v menu nápovědy prohlížeče.











Komentáře