Som ventet kom Mozilla i går kveld med versjon 3.0.7 av Firefox. Denne oppdateringen tar seg av fem ulike sikkerhetsproblemer, hvorav tre regnes som kritiske. I tillegg retter oppdateringen flere stabilitetsproblemer og andre feil.
Det ene sikkerhetsproblemet er knyttet til bruken av biblioteket libpng, som også benyttes av mye annen programvare. Versjonene 0.89c til 1.2.34 av libpng inneholder flere svakheter i oppryddingen av tildelt minne. Disse er fjernet i versjon 1.2.35. Svakhetene utnyttes via et ondsinnet nettsted til å få nettleseren til å krasje eller potensielt å kjøre virkårlig kode på det sårbare systemet.
En annen kritisk sårbarhet skyldes feilaktig minnehåndtering av et sett med klonede XUL DOM-elemeneter som lenkes som foreldre og barn.
Det siste av de kritiske problemene har Mozilla ikke skrevet om i detalj. Men det skal være knyttet til stabilitetsproblemer i nettlesermotoren til Firefox. Disse problemene har i blant ført til krasj, og noen av disse krasjene har vist tegn på minnekorrumpering. Det antas at dette under visse forhold kan utnyttes av ondsinnede til å kjøre vilkårlig kode på systemet.
En oversikt over alle endringene finnes på denne siden.
Firefox 3.0.7 kan lastes ned direkte fra oppdateringsfunksjonen i Firefox eller fra denne siden.
Flere av sårbarhetene som nå er rettet i Firefox, gjelder også andre Mozilla-produkter, som det foreløpig ikke foreligger sikkerhetsfikser til. Sårbarhetene avhenger dog at JavaScript er aktivert. I e-postproduktet Thunderbird er standardinnstillingen at JavaScript er deaktivert.
Les også:
- [28.04.2009] Andre Firefox-oppdatering på under en uke
- [05.03.2009] Færrest sårbarheter i Opera i fjor
- [02.03.2009] Vurderer å droppe Firefox 3.1
- [04.02.2009] Firefox kvitter seg med flere sårbarheter