Første feilfiks til Firefox 3

Mozilla har sluppet sikkerhetsfikser til flere av stiftelsens produkter.

Harald BrombachHarald BrombachNyhetsleder
17. juli 2008 - 08:35

Mozilla kom i går med oppdateringer til både Firefox 2 og Firefox 3, samt til SeaMonkey 1.1. En tilsvarende oppdatering skal også kunne ventes til e-postprogrammet Thunderbird 2.

Felles for disse oppdateringene er at de inkluderer en sikkerhetsfiks til en alvorlig sårbarhet som kan gi ondsinnede tilgang til å kompromittere et sårbart system.

Sårbarheten skyldes ifølge sikkerhetsselskapet Secunia en feil i håndteringen av referansetellere for CSS-objekter. Dette kan utnyttes til å kjøre vilkårlig kode ved hjelp av et altfor høyt antall referanser til et felles CSS-objekt.

Feilen er blitt fjernet fra Firefox 3.0.1 og 2.0.0.16, samt i SeaMonkey 1.1.11. Noen oppdatering til Thunderbird har derimot ikke kommet ennå.

Oppdateringene til både Firefox 2 og 3 inkluderer også en sikkerhetsfiks som fjerner et mindre alvorlig problem som åpner for at angripere kan få tilgang til å lese filer på kjente steder på brukerens system. Dette gjøres ved å oppgi URI-er via kommandolinjen, fra en annen nettleser og krever at Firefox ikke kjøres.

En tredje sårbarhet i Firefox skyldes at inndata til XUL-baserte feilsider ikke renses skikkelig før de returneres til brukeren. Sårbarheten kan dermed utnyttes til blant annet phishing. Sårbarheten kan også kombineres med den sårbarheten som er nevnt over for å sette inn vilkårlig skriptkode og å kjøre vilkårlig kode i chrome-konteksten. Men forutsetningene for å lykkes med et slikt angrep er de samme som nevnt over.

I Mac-versjonen av Firefox 3 er det i tillegg blitt fjernet en sårbarhet knyttet til grafikkoden som håndterer GIF-gjengivelsen. Spesielt tilpassede GIF-filer kan føre til at nettleseren frigjør en ikke-initiert peker. Dette kan utnyttes av en angriper til å krasje nettleseren og potensielt kjøre vilkårlig kode på offerets datamaskin.

Flere detaljer om sårbarhetene i Firefox 3 finnes på denne siden.

Firefox 3.0.1 inkluderer i tillegg en rekke stabilitetsforbedringer og andre feilfikser. En oversikt over en del av forbedringene finnes på denne siden.

Den enkleste måten å laste ned sikkerhetsoppdateringene til Mozilla-produktene, er å be produktet se etter oppdateringer selv. Dette gjøres fra Hjelp-menyen i nettleseren. Men oppdateringene er også tilgjengelige via Mozilla-nettstedet.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra