Mozilla kom i går med oppdateringer til både Firefox 2 og Firefox 3, samt til SeaMonkey 1.1. En tilsvarende oppdatering skal også kunne ventes til e-postprogrammet Thunderbird 2.
Felles for disse oppdateringene er at de inkluderer en sikkerhetsfiks til en alvorlig sårbarhet som kan gi ondsinnede tilgang til å kompromittere et sårbart system.
Sårbarheten skyldes ifølge sikkerhetsselskapet Secunia en feil i håndteringen av referansetellere for CSS-objekter. Dette kan utnyttes til å kjøre vilkårlig kode ved hjelp av et altfor høyt antall referanser til et felles CSS-objekt.
Feilen er blitt fjernet fra Firefox 3.0.1 og 2.0.0.16, samt i SeaMonkey 1.1.11. Noen oppdatering til Thunderbird har derimot ikke kommet ennå.
Oppdateringene til både Firefox 2 og 3 inkluderer også en sikkerhetsfiks som fjerner et mindre alvorlig problem som åpner for at angripere kan få tilgang til å lese filer på kjente steder på brukerens system. Dette gjøres ved å oppgi URI-er via kommandolinjen, fra en annen nettleser og krever at Firefox ikke kjøres.
En tredje sårbarhet i Firefox skyldes at inndata til XUL-baserte feilsider ikke renses skikkelig før de returneres til brukeren. Sårbarheten kan dermed utnyttes til blant annet phishing. Sårbarheten kan også kombineres med den sårbarheten som er nevnt over for å sette inn vilkårlig skriptkode og å kjøre vilkårlig kode i chrome-konteksten. Men forutsetningene for å lykkes med et slikt angrep er de samme som nevnt over.
I Mac-versjonen av Firefox 3 er det i tillegg blitt fjernet en sårbarhet knyttet til grafikkoden som håndterer GIF-gjengivelsen. Spesielt tilpassede GIF-filer kan føre til at nettleseren frigjør en ikke-initiert peker. Dette kan utnyttes av en angriper til å krasje nettleseren og potensielt kjøre vilkårlig kode på offerets datamaskin.
Flere detaljer om sårbarhetene i Firefox 3 finnes på denne siden.
Firefox 3.0.1 inkluderer i tillegg en rekke stabilitetsforbedringer og andre feilfikser. En oversikt over en del av forbedringene finnes på denne siden.
Den enkleste måten å laste ned sikkerhetsoppdateringene til Mozilla-produktene, er å be produktet se etter oppdateringer selv. Dette gjøres fra Hjelp-menyen i nettleseren. Men oppdateringene er også tilgjengelige via Mozilla-nettstedet.
