Вышло обновление Firefox 3.0.4, Firefox 2.0.0.18 и SeaMonkey 1.1.13

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

13 ноября 2008 года

Выпущены релизы Firefox 3.0.4, Firefox 2.0.0.18 и SeaMonkey 1.1.13 содержащие устранение 9 уязвимостей, из которых 4 имеют статус критических, 2 - опасных, 2 - умеренных и 1 несущественная.

Отдельно можно отметить исправление в Firefox 3.0.4 ошибок и решение нескольких проблем, влияющих на стабильность и производительность, например, активацию дополнительных корневых EV (Extended Validation) X.509 сертификатов, исправление ошибки из-за которой наблюдались аномалии с подстановкой паролей, сохраненных в Firefox 3.0.2, устранены проблемы с сохранением настроек прокси-сервера для протоколов отличных от HTTP, опционально добавлена поддержка буквы Ё в русскоязычном словаре для проверки орфографии. Всего в Firefox 3.0.4 исправлена 121 ошибка.

Критические и опасные уязвимости:

  • Возможность инициирования злоумышленником краха браузера или выполнения кода в системе, через манипуляции из JavaScript скрипта с элементом форм input перед завершением инициализации DOM дерева;
  • Переполнение буфера в парсере MIME-типа http-index-format. Модифицировав специальным образом первые 200 строк заголовка ответа на HTTP index запрос, атакующий может выполнить свой код на машине жертвы;
  • В коде восстановления записанной сессии найдена ошибка, которую можно использовать для выполнения JavaScript скрипта злоумышленника в контексте другого сайта или в не изолированном контексте браузера (chrome);
  • Несколько проблем, приводящих к порче содержимого памяти браузера, что теоретически может быть использовано для выполнения кода злоумышленником;
  • Возможность обхода проверки безопасности через CSS атрибут -moz-binding, что позволяет злоумышленнику осуществить подстановку своего скрипта в подписанный JAR архив, при этом скрипт злоумышленника будет выполнен в контексте другого сайта с привилегиями выполняемого JAR приложения;
  • Возможность обхода проверок безопасности в методе nsXMLHttpRequest::NotifyEventListeners(), что позволяет выполнить JavaScript код в контексте другого сайта.

Внимание ! Все уязвимости свойственны и ветке Firefox 2, выпуск обновлений для которой будет прекращен в декабре, после выхода релиза 2.0.0.19. Пользователям SeaMonkey 1.0.x рекомендуется перейти на ветку 1.1.x, так как для ветки 1.0.x выпуск обновлений прекращен. Некоторые уязвимости свойственны и почтовому клиенту Thunderbird, для которого пока не выпущено обновление, но уже доступен кандидат в релизы Thunderbird 2.0.0.18.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Вышло обновление Firefox 3.0.4, Firefox 2.0.0.18 и SeaMonkey 1.1.13», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Вышло_обновление_Firefox_3.0.4,_Firefox_2.0.0.18_и_SeaMonkey_1.1.13&oldid=8641361