Experti varují: Firefox 3.5 obsahuje vysoce kritickou zranitelnost

16. 7. 2009

Sdílet

Mozilla potvrdila informaci o první bezpečnostní chybě v nejnovější verzi webového prohlížeče Firefox 3.5. Ta prý potencionálnímu útočníkovi umožňuje spustit svůj škodlivý kód na cizím přístroji s tímto prohlížečem.

Secunia, dánská bezpečností společnost, chybu hodnotí jako „vysoce kritickou.“ Chyba je v JavaScript enginu TraceMonkey, který debutoval právě s nejnovější verzí 3.5. „Toho může zneužít útočník, naláká-li svými triky oběť na nebezpečnou webovou stránku obsahující škodlivý kód“ uvedla Mozilla ve svém úterním prohlášení na bezpečnostním blogu.

Podle Asa Dotzlera, ředitele pro místní rozvoj u společnosti Mozilla, nejsou majitelé starších verzí prohlížeče Firefox, včetně Firefoxu 3.0, ohroženi. „Vývojáři prohlížeče Mozilla již pracují na opravě na této chyby a bezpečnostní aktualizace bude uvolněna hned, jakmile bude dokončena a proběhne její úspěšné testování“ napsal Dotzler na firemním blogu. Hacker, který se napadením prohlížeče prezentoval toto pondělí, však nebyl prvním, kdo zranitelnost enginu TraceMonkey odhalil. Vývojáři Mozilly na chybu upozornili již minulý čtvrtek.

Než bude uvolněna opravná aktualizace, mohou se uživatelé prohlížeče chránit tím, že vypnou komponentu just-in-time (JIT), která je součástí právě postiženého enginu TraceMonkey. Stačí, když do adresního řádku prohlížeče zadají příkaz “about:config“, pomocí filtru si následně vyhledají položku “javascript.options.jit.content“ a poté dvojitým klepnutím změní její hodnotu na “false“.

Mozilla také přislíbila již v druhé polovině července uvolnit opravenou verzi Firefox 3.5.1, která by měla opravovat i problémy se stabilitou nového browseru, který se vyznačuje častými pády (více viz článek Firefox 3.5 není stabilní, Mozilla chystá opravy). Tyto nedostatky a také objevení vysoce kritické chyby v TraceMonkey, který byl jedním z hlavních zdrojů zdržení vývoje celého prohlížeče, pak znovu rozpoutaly diskusi o tom, že Mozilla uvedla Firefox 3.5 předčasně a release candidate fázi uspěchala...