Вышло обновление Firefox 3.0.4, Firefox 2.0.0.18 и SeaMonkey 1.1.13
13 ноября 2008 года
Выпущены релизы Firefox 3.0.4, Firefox 2.0.0.18 и SeaMonkey 1.1.13 содержащие устранение 9 уязвимостей, из которых 4 имеют статус критических, 2 - опасных, 2 - умеренных и 1 несущественная.
Отдельно можно отметить исправление в Firefox 3.0.4 ошибок и решение нескольких проблем, влияющих на стабильность и производительность, например, активацию дополнительных корневых EV (Extended Validation) X.509 сертификатов, исправление ошибки из-за которой наблюдались аномалии с подстановкой паролей, сохраненных в Firefox 3.0.2, устранены проблемы с сохранением настроек прокси-сервера для протоколов отличных от HTTP, опционально добавлена поддержка буквы Ё в русскоязычном словаре для проверки орфографии. Всего в Firefox 3.0.4 исправлена 121 ошибка.
Критические и опасные уязвимости:
- Возможность инициирования злоумышленником краха браузера или выполнения кода в системе, через манипуляции из JavaScript скрипта с элементом форм input перед завершением инициализации DOM дерева;
- Переполнение буфера в парсере MIME-типа http-index-format. Модифицировав специальным образом первые 200 строк заголовка ответа на HTTP index запрос, атакующий может выполнить свой код на машине жертвы;
- В коде восстановления записанной сессии найдена ошибка, которую можно использовать для выполнения JavaScript скрипта злоумышленника в контексте другого сайта или в не изолированном контексте браузера (chrome);
- Несколько проблем, приводящих к порче содержимого памяти браузера, что теоретически может быть использовано для выполнения кода злоумышленником;
- Возможность обхода проверки безопасности через CSS атрибут -moz-binding, что позволяет злоумышленнику осуществить подстановку своего скрипта в подписанный JAR архив, при этом скрипт злоумышленника будет выполнен в контексте другого сайта с привилегиями выполняемого JAR приложения;
- Возможность обхода проверок безопасности в методе nsXMLHttpRequest::NotifyEventListeners(), что позволяет выполнить JavaScript код в контексте другого сайта.
Внимание ! Все уязвимости свойственны и ветке Firefox 2, выпуск обновлений для которой будет прекращен в декабре, после выхода релиза 2.0.0.19. Пользователям SeaMonkey 1.0.x рекомендуется перейти на ветку 1.1.x, так как для ветки 1.0.x выпуск обновлений прекращен. Некоторые уязвимости свойственны и почтовому клиенту Thunderbird, для которого пока не выпущено обновление, но уже доступен кандидат в релизы Thunderbird 2.0.0.18.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.