Firefox 3.5.4 opravuje 16 zranitelností

28. 10. 2009

Sdílet

Mozilla opravila 16 zranitelností v prohlížeči Firefox 3.5. Z toho 11 bylo podle Mozilly kritických, tj. za určitých okolností umožňovaly vzdálené spuštění libovolného kódu. Nová verze open source browseru má číslo 3.5.4.

Zranitelná byla celá řada komponent, od parseru po zpracování formátu GIF po převodník řetězců na čísla či knihovny médií třetích stran. Chyby byly také ve vlastním jádru prohlížeče a interpreteru JavaScriptu. Útočníci se v případě kritických chyb mohli pokoušet vzdáleně spustit kód zejména přes mechanismus porušení paměti.

Řada těchto chyb (9 oprav, z toho 4 kritické) se týkala i Firefoxu 3.0, jehož podporu Mozilla ukončí na přelomu let 2009/10. Zde má nová verze číslo 3.0.15. Rozdíl mezi Firefoxem 3 a 3.5 je hlavně v tom, že novější verze obsahovala nové – a zranitelné – knihovny médií. Některé z nich způsobovaly možné selhání interpreteru JavaScriptu TraceMonkey, který byl poprvé implementován právě do verze 3.5. Pokud by někdo verzi 3.5 z libovolného důvodu nechtěl aktualizovat, Mozilla doporučuje JavaScript raději zakázat.

Jako obvykle – Firefox lze aktualizovat ručně, nebo se upozornění v blízké době zobrazí automaticky.

ICTS24

Opravy byly zveřejněny krátce poté, co Mozilla vydala první beraverzi Firefoxu 3.6. Ten má být jednou z menších aktualizací – Mozilla se totiž rozhodla zkrátit celý vývojový cyklus a vydávat verze rychleji po sobě. Není zatím jasné, zda finální Firefox 3.6 bude distribuován automaticky podobně jako bezpečnostní aktualizace, nebo si ho uživatelé budou muset stáhnout ručně podobně jako při přechodu z verze 3 na 3.5.