Обновление Firefox и Seamonkey с исправлением уязвимостей

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

31 марта 2010 года

Доступны корректирующие выпуски Firefox 3.5.9, 3.0.19 и Seamonkey 2.0.4, в которых устранено 11 уязвимостей, из которых 8 имеют критическую степень опасности. Кроме уязвимостей в Firefox 3.5.9 и Seamonkey 2.0.4 исправлено большое количество ошибок, связанных со стабильностью работы, например, в Firefox исправлено 56 ошибок, а в Seamonkey отмечено более 100 изменений.

Выпуск Firefox 3.0.19 является последним в ветке 3.0. Пользователям рекомендуется перейти к использованию ветки Firefox 3.6, так как подготовка обновлений для ветки 3.0 прекращена.

Отдельно можно отметить публикацию обновленных данных о релизе Firefox 3.6.2, вышедшем неделю назад. Интересно то, что при анонсе на прошлой неделе в списке устраненных в Firefox 3.6.2 проблем значилась только одна критическая уязвимость, а теперь данных список дополнен и в нем присутствует уже 18 (!) проблем безопасности из которых 9 отмечены как критические.

Большинство из исправленных уязвимостей были представлены в рамках соревнования по взлому популярных web-браузеров TippingPoint Zero Day Initiative, проводимого ежегодно на конференции Pwn2Own. Из исправленных в новых версиях опасных уязвимостей можно отметить:

  • MFSA 2010-11, MFSA 2010-16: пять ошибок, связанных с возможностью повреждения областей памяти, что может быть потенциально использовано для организации выполнения кода злоумышленника с правами текущего пользователя;
  • MFSA 2010-17: использование в XUL обработчике nsTreeSelection буфера после освобождения закрепленной за ним памяти может привести к организации выполнения кода злоумышленника;
  • MFSA 2010-18: при подстановке элементов "option" в XUL-дерево "optgroup" при определенном стечении обстоятельств указатели на обработчики элементов остаются после их удаления и могут быть вызваны, что дает возможность использовать ошибку для организации выполнения кода на стороне клиента;
  • MFSA 2010-19: ошибка в реализации объекта window.navigator.plugins может быть использована для выполнения кода злоумышленника, из-за обращения по указателю на плагин, после его удаления.
  • MFSA 2010-20: техника организации выполнения JavaScript-кода с привилегиями "chrome" (общий контекст браузера);

В заключение можно упомянуть выход (Архивная копия от 3 января 2012 на Wayback Machine) пакета Jetpack SDK 0.2 (Архивная копия от 6 июля 2009 на Wayback Machine), содержащего в себе набор инструментов для упрощения разработки Jetpack-дополнений для Firefox. В состав SDK входит набор библиотек(недоступная ссылка), утилиты командной строки и первый прототип среды разработки FlightDeck IDE, основанной на кодовой базе проекта Bespin.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Обновление Firefox и Seamonkey с исправлением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Обновление_Firefox_и_Seamonkey_с_исправлением_уязвимостей&oldid=16561960