Обновление Firefox и Seamonkey с исправлением уязвимостей

31.03.2010 12:23

Доступны корректирующие выпуски Firefox 3.5.9, 3.0.19 и Seamonkey 2.0.4, в которых устранено 11 уязвимостей, из которых 8 имеют критическую степень опасности. Кроме уязвимостей в Firefox 3.5.9 и Seamonkey 2.0.4 исправлено большое количество ошибок, связанных со стабильностью работы, например, в Firefox исправлено 56 ошибок, а в Seamonkey отмечено более 100 изменений.

Выпуск Firefox 3.0.19 является последним в ветке 3.0. Пользователям рекомендуется перейти к использованию ветки Firefox 3.6, так как подготовка обновлений для ветки 3.0 прекращена.

Отдельно можно отметить публикацию обновленных данных о релизе Firefox 3.6.2, вышедшем неделю назад. Интересно то, что при анонсе на прошлой неделе в списке устраненных в Firefox 3.6.2 проблем значилась только одна критическая уязвимость, а теперь данных список дополнен и в нем присутствует уже 18 (!) проблем безопасности из которых 9 отмечены как критические.

Большинство из исправленных уязвимостей были представлены в рамках соревнования по взлому популярных web-браузеров TippingPoint Zero Day Initiative, проводимого ежегодно на конференции Pwn2Own. Из исправленных в новых версиях опасных уязвимостей можно отметить:

MFSA 2010-11, MFSA 2010-16: пять ошибок, связанных с возможностью повреждения областей памяти, что может быть потенциально использовано для организации выполнения кода злоумышленника с правами текущего пользователя;
MFSA 2010-17: использование в XUL обработчике nsTreeSelection буфера после освобождения закрепленной за ним памяти может привести к организации выполнения кода злоумышленника;
MFSA 2010-18: при подстановке элементов "option" в XUL-дерево "optgroup" при определенном стечении обстоятельств указатели на обработчики элементов остаются после их удаления и могут быть вызваны, что дает возможность использовать ошибку для организации выполнения кода на стороне клиента;
MFSA 2010-19: ошибка в реализации объекта window.navigator.plugins может быть использована для выполнения кода злоумышленника, из-за обращения по указателю на плагин, после его удаления.
MFSA 2010-20: техника организации выполнения JavaScript-кода с привилегиями "chrome" (общий контекст браузера);

В заключение можно упомянуть выход пакета Jetpack SDK 0.2, содержащего в себе набор инструментов для упрощения разработки Jetpack-дополнений для Firefox. В состав SDK входит набор библиотек, утилиты командной строки и первый прототип среды разработки FlightDeck IDE, основанной на кодовой базе проекта Bespin.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/26027-Firefox

Ключевые слова: Firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (6)

1.1, tty (??), 13:39, 31/03/2010 [ответить]	+5 +/–
нужно такие конкурсы проводить почаще

1.2, eth1 (?), 15:00, 31/03/2010 [ответить]	+/–
о, seamonkey - это хорошо! Надо обновиться! ;)

1.3, Аноним (-), 16:29, 31/03/2010 [ответить]	+/–
+ Thunderbird обновили до 3.0.4

2.4, Аноним (-), 16:54, 31/03/2010 [^] [^^] [^^^] [ответить]	+/–
>+ Thunderbird обновили до 3.0.4 Про Thunderbird 3.0.4 вчера в новостях было http://www.opennet.me/opennews/art.shtml?num=26013

1.5, аноним (?), 19:11, 31/03/2010 [ответить]	+/–
Мда, явно надо заводить под firefox отдельного пользователя.

1.7, Аноним (-), 08:20, 02/04/2010 [ответить]	+/–
зашёл посмотреть на эти http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3 ошибки и понял на них нет не одного(!) способа зайти/просмотреть кроме как по прямом линку, искал 15 мин.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: