Обновление Firefox: 3.5.6 и 3.0.16. Исправлено 11 уязвимостей

16.12.2009 10:35

Разработчики Mozilla выпустили очередные корректирующие релизы для поддерживаемых веток web-браузера Firefox - 3.5.6 и 3.0.16. В версии 3.5.6 устранено 11 уязвимостей, из которых 6 имеют статус критических, а одна уязвимость помечена как опасная. Кроме устранения уязвимостей в версии 3.5.6 исправлено около 60 ошибок, 11 из которых могли привести к краху.

Из опасных проблем безопасности, исправленных в Firefox 3.5.6, можно отметить:

"MFSA 2009-65" - 4 ошибки, приводящие к возможности инициирования выхода за допустимые границы области памяти. Потенциально данные ошибки могут быть использованы злоумышленником для выполнения своего кода на машине пользователя, при выполнении специально оформленной JavaScript вставки;
"MFSA 2009-66" - в используемой браузером библиотеке liboggplay найдена уязвимость, позволяющая выполнить код злоумышленника при обработке специально подготовленного OGG файла;
"MFSA 2009-67" - в используемой в браузере библиотеке libtheora найдено целочисленное переполнение, которое потенциально может быть использовано для организации выполнения кода злоумышленника при проигрывании определенным образом скомпонованного видео-контента. По заявлению некоторых экспертов, ошибку можно использовать только для совершения DoS атаки;
"MFSA 2009-68" - проблема в реализации механизма NTLM аутентификации, мандат доступа одного приложения может быть распространен на другое. Т.е. если пользователь откроет сайт злоумышленника, то атакующий сможет сформировать обращение к защищенной области другого ресурса, к которому имеет доступ текущий пользователь;
"MFSA 2009-69" - две ошибки, приводящие к возможности спуфинга (подмены) содержимого строки ввода адреса, что может создать у пользователя иллюзию нахождения на другом сайте;
"MFSA 2009-70" - манипуляции с параметрами объекта window.opener могут привести к запуску JavaScript кода с привилегиями браузера (уровень chrome).

В связи с грядущим прекращением поддержки ветки Firefox 3.0.x пользователям рекомендуется как можно скорее осуществить переход на версию 3.5.6.

Дополнение: с аналогичными исправлениями вышло обновление SeaMonkey 2.0.1.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/24688-firefox

Ключевые слова: firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.1, vadim s. sabinich (?), 14:51, 16/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
нифига себе. у меня на ноуте "широтоко". обновится, поди сам.. а зачем еще 3.0.x ветка? типа, просто фиксят баги и все?

2.2, use (?), 15:14, 16/12/2009 [^] [^^] [^^^] [ответить]	+/–
>>а зачем еще 3.0.x ветка? Не все ещё перешли на ветку 3.5.x. Тем более Mozilla поддерживает свои старые ветки по полгода, после выхода новой.

2.3, Злой тролль (?), 03:51, 17/12/2009 [^] [^^] [^^^] [ответить]	+/–
А почему бы и нет?

2.5, Zenitur (?), 08:37, 17/12/2009 [^] [^^] [^^^] [ответить]	+/–
В гигтеu 8.04 LTS FireFox 3.0.15. 3.0.16 появится со дня на день.

2.6, аноним (?), 10:25, 17/12/2009 [^] [^^] [^^^] [ответить]

+/–

>нифига себе. у меня на ноуте "широтоко". обновится, поди сам..
>а зачем еще 3.0.x ветка? типа, просто фиксят баги и все?

ты видишь сколько багов в каждом релизе находят? Если бы у них был один долго поддерживаемый, то им бы могли пользоваться те, кому важна безопасность. А с этой гонкой версий... даже версия 3.0.15 ужасно расходует память, за пару суток с кучей вкладок может съесть пару гигов в свапе. т.е. и в ней еще полно ошибок.

1.4, Zenitur (?), 08:37, 17/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
64-битная версия: http://www.easy-share.com/1908748015/firefox-3.5.6-x86_64.tar.bz2 Пользователи новейших версий популярных дистрибутивов Ubuntu (9.10), Mandriva (2010), Fedora (12), openSuSE (11.2) могут воспользоваться репозитарием системы в Интернете, где новая версия FireFox появится со дня на день. Сделать такую сборку самому не проблема. Загрузить исходный код (40 мегабайт; ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.5.6/source/firefox-), выполнить команды: make -f client.mk build (чтобы появился файл configure) ./configure --enable-application=browser (также очень полезна опция --disable-tests) make -f client.mk build Сборка находится в каталоге dists/bin. Затем нужно загрузить официальную 32-битную сборку и поменять в получившейся некоторые файлы. Я дополнительно положил в каталог плагинов последний 64-битный Adobe Flash. Пользователи Debian-подобных систем могут сделать одним лёгким движением и установку зависимостей (sudo apt-get build-dep firefox-3.5 xulrunner-1.9.1) и пакет для своего дистрибутива (checkinstall).

1.7, Аноним (-), 10:37, 17/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
поломали ntlm авторизацию через squid в винде :( и 3.0.16 и 3.5.6 :( гады!

1.9, Александр (??), 23:18, 19/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Лучше сидеть на старых версиях Firefox, они стабильно работают. Как говорят: "Старый конь - борозды не испортит"; хотя на сайте www.pingvinus.ru в разделе "Броузеры" выложен Firefox 3.5.6 - правда в исходниках. Скачал и думаю -ставить или нет? Хорошо на ваши комменты набрел...

2.10, Zenitur (?), 19:01, 21/12/2009 [^] [^^] [^^^] [ответить]	+/–
Тебе повезло, что тебя не видит User294. Он бы сразу начал психовать и орать "некромааанты! Мастдай!"

1.11, LordZ (?), 13:23, 22/12/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ужас как память кушает. Просто ужас.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: