The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Firefox 3.6.13/3.5.16 и Thunderbird 3.1.7/3.0.11 c устранением 13 уязвимостей

10.12.2010 11:40

Разработчики Mozilla выпустили очередные корректирующие релизы для поддерживаемых веток web-браузера Firefox - 3.6.13 и 3.5.16. В представленном обновлении устранено 13 уязвимостей, из которых 11 имеют статус критических, а одна уязвимость помечена как опасная. Дополнительно в версии Firefox 3.6.13 исправлено 68 ошибок (из которых 20 приводят к краху), а в версии 3.5.16 - 49.

Одновременно выпущены корректирующие обновления web-браузера SeaMonkey 2.0.11 и почтового клиента Thunderbird 3.1.7 и 3.0.11. В Thunderbird устранены три критические уязвимости, решены проблемы с обработкой больших файлов, хранящих содержимое локальных почтовых папок, а также исправлена ошибка, приводящая к нарушению целостности локальной копии IMAP-ящиков.

Из исправленных в Firefox критических проблем безопасности можно отметить:

  • "MFSA 2010-74" - 3 ошибки, связанные с выходом за допустимые границы памяти. Потенциально данные ошибки могут быть использованы для организации выполнения кода злоумышленника;
  • "MFSA 2010-75" - переполнение буфера в коде формирования переноса строки, вызванное попыткой отображения очень длинной строки через функцию document.write(). Проблема проявляется только на платформе Windows и потенциально может быть использована для выполнения кода злоумышленника;
  • "MFSA 2010-76" - возможность выполнения JavaScript кода с привилегиями браузера (уровень chrome, на котором работают дополнения) путем определенных манипуляций с методом window.open с последующей подстановкой элемента "isindex";
  • "MFSA 2010-77" - возможность инициирования удаленного выполнения кода через использование HTML-тегов внутри дерева XUL: при отображении div, вложенного в treechildren неправильно рассчитывается индекс, что приводит к записи данных за пределы выделенного буфера;
  • "MFSA 2010-78" - в состав браузера включена библиотека для проверки валидности шрифтов (OTS font sanitizer), предотвращающая эксплуатацию уязвимостей в шрифтовом движке;
  • "MFSA 2010-79" - обход ограничений виртуальной Java-машины (возможность запуска любых процессов в системе, доступ к локальным ФС и возможность установки сетевых соединений) через загрузку LiveConnect-скрипта через "data:" URL;
  • "MFSA 2010-80" - возможность записи данных в уже освобожденную область памяти через манипуляции с DOM-узлом nsDOMAttribute, что может быть использовано для выполнения кода злоумышленника;
  • "MFSA 2010-81" - целочисленное переполнение в NewIdArray при попытке создания массива с очень большим числом элементов, не укладывающихся в индекс с типом integer, что приводит к записи хвоста массива в область памяти за пределами выделенного буфера;
  • "MFSA 2010-82" - внесенное в прошлых версиях исправление уязвимости CVE-2010-0179 могло быть использовано для выполнения JavaScript с привилегиями уровня chrome;
  • "MFSA 2010-83" - возможность подмены содержимого адресной строки для SSL-соединений через манипуляции с отображением страницы с информацией об ошибке.


  1. Главная ссылка к новости (https://developer.mozilla.org/...)
  2. OpenNews: В Firefox 3.6.12 и 3.5.15 устранена критическая уязвимость. Релиз Firefox 4 отложен до 2011 года
  3. OpenNews: Обновление Firefox 3.6.11 и 3.5.14 c устранением 10 уязвимостей
  4. OpenNews: Обновление Firefox 3.6.10/3.5.13 и SeaMonkey 2.0.8
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28953-firefox
Ключевые слова: firefox, Thunderbird
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:17, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Может быть, может быть...
    Вот в винде просто есть и используется.
     
  • 1.2, Иван Иванович Иванов (?), 13:27, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Максим, + SeaMonkey 2.0.11 :)
     
  • 1.3, Sylvia (ok), 13:45, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    для пользователей дистрибутивов, где ФФ собирается с системной cairo 1.10
    также должны были исправить проблемы с анимированными GIF
     
     
  • 2.5, prapor (??), 15:17, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ураааа!!! А то я думал было что это виноваты мои шаловливые /dev/hands.
     
     
  • 3.7, Michael Shigorin (ok), 19:05, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А это всё твой шаловливый $distro.
     
     
  • 4.13, prapor (??), 01:50, 11/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы да... Меня предупреждали что Debian experimental ? не для слабонервных.
     
  • 2.9, Sylvia (ok), 23:09, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    не нашла ничего в багзилле по исправлениям cairo и gif, похоже настолько торопились зарелизить что забыли включить патч, проверила на эксперименте, мигают гифки...

    вообщем кому нужно три варианта решения:

    1) патч https://bugs.gentoo.org/attachment.cgi?id=256003
    2) workaround - убрать --enable-system-cairo из флагов конфигурации перед сборкой
    3) воспользоваться официальной сборкой мозиллы (bundled cairo)

    + не забыть мучать майнтейнеров ваших дистрибутивов за такое безобразие

     
  • 2.11, Федя Млин (?), 00:43, 11/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не исправили, опять патчить.
     

  • 1.4, Аноним (-), 14:46, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Sylvia, thanks!
     
  • 1.8, Аноним (-), 19:54, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин вот действительно, жаль нету apt-get undo обновился с 3.6.12 теперь падает на 80% всех сайтов при их загрузке.
     
     
  • 2.12, Wormik (ok), 01:05, 11/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Найди в меню "Указать версию..." и установи предыдущий релиз. Если Дебиан, то так можно делать со всеми программами. Если Убунта - мне вас очень жаль
    . FireFox и Java - единственное, что обновляется в ней из Интернета
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру