Головна » 2008 » Листопад » 13 » Вийшло оновлення Firefox 2.0.0.18, Firefox 3.0.4, SeaMonkey 1.1.13
Вийшло оновлення Firefox 2.0.0.18, Firefox 3.0.4, SeaMonkey 1.1.13
17:56
Випущені релізи Firefox 3.0.4, Firefox 2.0.0.18 і SeaMonkey 1.1.13, що містять усунення 9 багів, з яких 4 мають статус критичних, 2 - небезпечних, 2 - помірних і 1 неістотна.
Окремо можна відзначити виправлення в Firefox 3.0.4 помилок і вирішення декількох проблем, що впливають на стабільність і продуктивність, наприклад, активацію додаткових кореневих EV (Extended Validation) X.509 сертифікатів, виправлення помилки із-за якої спостерігалися аномалії з підстановкою паролів, збережених в Firefox 3.0.2, усунені проблеми із збереженням налаштувань проксі-сервера для протоколів відмінних від HTTP, опціонально додана підтримка літери "Ё" в російськомовному словнику для перевірки орфографії. Всього в Firefox 3.0.4 виправлено 121 помилку.
Критичні і небезпечні уразливості:
* Можливість ініціації зловмисником краху браузера або виконання кодуи в системі, через маніпуляції з Javascript скрипта з елементом форм input перед завершенням ініціалізації DOM дерева; * Переповнювання буфера в парсері MIME-типа http-index-format. Модифікувавши спеціальним чином перші 200 рядків заголовка відповіді на HTTP index запит, що атакує може виконати свій код на машині жертви; * У коді відновлення записаної сесії знайдена помилка, яку можна використовувати для виконання Javascript скрипта зловмисника в контексті іншого сайту або в не ізольованому контексті браузера (chrome); * Декілька проблем, що приводять до псування вмісту пам'яті браузера, що теоретично може бути використане для виконання коду зловмисником; * Можливість обходу перевірки безпеки через CSS атрибут -moz-binding, що дозволяє зловмисникові здійснити підстановку свого скрипта в підписаний архів JAR, при цьому скрипт зловмисника буде виконаний в контексті іншого сайту з привілеями виконуваного застосування JAR; * Можливість обходу перевірок безпеки в методі nsxmlhttprequest::notifyeventlisteners(), що дозволяє виконати Javascript код в контексті іншого сайту.
Увага ! Всі вразливості властиво і вітці Firefox 2, випуск оновлень для якої буде припинений в грудні, після виходу реліза 2.0.0.19. Користувачам SeaMonkey 1.0.x рекомендується перейти на вітку 1.1.x, оскільки для вітки 1.0.x випуск оновлень припинений. Деякі вразливості властиві і поштовому клієнтові Thunderbird, для якого поки не випущено оновлення, але вже доступний кандидат в релізи Thunderbird 2.0.0.18.