Ve Firefoxu opraveno 11 chyb, 4 podle Mozilly kritické

11. 2. 2008

Sdílet

Mezi opravenými chybami byla také jedna bezpečnostní díra, která ohrožovala uživatele libovolného z čím dál oblíbenějších doplňků tohoto prohlížeče. Jiné chyby ovšem byly vážnější, umožňovaly třeba získat historii uživatelem navštívených stránek – a to včetně zadaných hesel.

Mozilla vydala opravu 11 chyb Firefoxu, z toho 4 byly podle Mozilla Corp. kritické. Mezi opravenými chybami byla také jedna bezpečnostní díra, která ohrožovala uživatele libovolného z čím dál oblíbenějších doplňků tohoto prohlížeče.
Nová verze Firefox 2.0.0.12 je první aktualizací od listopadu loňského roku.

Největší pozornost vzbudily nikoliv kritické chyby, ale chyba v URI (Uniform Resource Identifier), kterou objevil Gerry Eisenhaur a speciálně se jí věnovala i ředitelka zabezpečení v Mozilla.corp Window Snyder (mimochodem předtím pracovala jako bezpečnostní analytička v Microsoftu, kde se podílela na vzniku balíčku Service Pack 2 pro Windows XP). Právě tento problém ohrožoval uživatele doplňků.
Jiné chyby ovšem byly vážnější, umožňovaly třeba získat historii uživatelem navštívených stránek – a to včetně zadaných hesel. V této souvislosti bylo ovšem upozorněno, že Mozilla sama používá „sebekritickou“ metodiku, kdy chyba může být označena za kritickou i tehdy, pokud přímo neumožňuje spuštění vzdáleného kódu.
Uživatelům Firefoxu byla nová verze/opravy nabídnuty formou automatické aktualizace.

Zdroj: Computerworld.com

Mimochodem, Windows Snyder nedávno poskytla americkému Computerworldu rozhovor, ve kterém za hlavní bezpečnostní problém současnosti označila phishing a návštěvy podvodných stránek. Zmínila také klasické dilema: uživatelé i poskytovatelé obsahu vyžadují „bohatý obsah“ (ve smyslu funkce: Java, JavaScript, ActiveX...), který je samozřejmě potenciálně rizikový. Bezpečnostní experti ovšem nemají co předepisovat lidem, co mají či nemají používat, spíše v rámci jejich preferencí omezit rizika. Z hlediska uživatelů je samozřejmě nepřijatelné zakázat třeba otevírání příloh ze zatím neznámého/neověřeného zdroje apod. Potíž je ovšem v tom, že výsledkem je často kompromis: zprávy zabezpečení ve stylu „aplikace xy se pokouší... než povolíte, přesvědčete se, zda...“ Například tvůrci phishingu ovšem dokáží v adresátech vzbudit pocit naléhavosti, takže dotyčný celou proceduru stejně jen rychle odkliká...

Viz také: Firefox blokuje některá svá vlastní rozšíření

Autor článku