Firefox 3.5.2 a 3.0.13 opravuje nově objevené chyby

7. 8. 2009

Sdílet

Společnost Mozilla uvolnila v tomto týdnu nové verze 3.0.13 a 3.5.2 svého open source prohlížeče Firefox, jejichž cílem je opravit nedávno nalezené zranitelnosti.

Na dvě chyby upozornili bezpečnostní experti na konferenci Black Hat v uplynulém týdnu a třetí objevila sama Mozilla v minulém měsíci.

Konkrétně Firefox 3.0.13 opravuje dvě zranitelnosti a Mozilla počítá s jeho podporou do ledna 2010 a poté se bude snažit přesvědčit uživatele k přechodu na Firefox 3.5. V něm došlo navíc k opravě ještě další chyby, označované jako SOCKS5 díra.

Na zranitelnosti ve Firefoxu upozornil bezpečnostní expert Dan Kaminsky, který se zviditelnil v loňském létě tím, že varoval před zranitelností v DNS. Ten spolu s Moxie Marlinspikem nyní na konferenci předvedl, jak hackeři mohou zneužít chybu v implementaci SSL (Secure Socket Layer), což je protokol používaný pro šifrování komunikace na internetu. Útočníci mohli ukrást uživatelům kritická hesla nebo je přinutit ke stažení nežádoucího softwaru, který mohl obsahovat škodlivý kód. Firefox 3.5 sice využívá novější verzi služeb pro síťovou bezpečnost (NNS), nicméně i zde byla nalezena chyba při práci s daty ze SOCKS5 proxy.

Mozilla označila hrozby jako nízce nebezpečné, protože neprojevovaly charakter porušení paměti, které je potřební pro zanesení škodlivého kódu hackery do napadeného počítače.

Chyba spojená se SOCKS5 byla opravena již ve Firefoxu 3.0.12, který byl uvolněn 21. července a není jasné, proč k této opravě nedošlo ve Firefoxu 3.5.1. Důvodem bylo nejspíše uspěchané vydání této verze kvůli chybám v původním Firefoxu 3.5 a Mozilla jí opravila tedy až nyní, kdy měla na novou aktualizaci více času.

Firefox 3.5.2 a 3.0.13 je ke stažení ze stránek výrobce, stávajícím uživatelům byly již většinou jejich prohlížeče aktualizovány automaticky.