Форум Orsha-LUG

Портал => Новости => Тема начата: Sacren от 17 Декабрь 2009, 17:54:47



Название: Обновление Firefox: 3.5.6 и 3.0.16. Исправлено 11 уязвимостей
Отправлено: Sacren от 17 Декабрь 2009, 17:54:47
Разработчики Mozilla выпустили очередные корректирующие релизы для поддерживаемых веток web-браузера Firefox - 3.5.6 и 3.0.16. В версии 3.5.6 устранено 11 уязвимостей, из которых 6 имеют статус критических, а одна уязвимость помечена как опасная. Кроме устранения уязвимостей в версии 3.5.6 исправлено около 60 ошибок, 11 из которых могли привести к краху.

Из опасных проблем безопасности, исправленных в Firefox 3.5.6, можно отметить:
"MFSA 2009-65" - 4 ошибки, приводящие к возможности инициирования выхода за допустимые границы области памяти. Потенциально данные ошибки могут быть использованы злоумышленником для выполнения своего кода на машине пользователя, при выполнении специально оформленной JavaScript вставки;
"MFSA 2009-66" - в используемой браузером библиотеке liboggplay найдена уязвимость, позволяющая выполнить код злоумышленника при обработке специально подготовленного OGG файла;
"MFSA 2009-67" - в используемой в браузере библиотеке libtheora найдено целочисленное переполнение, которое потенциально может быть использовано для организации выполнения кода злоумышленника при проигрывании определенным образом скомпонованного видео-контента. По заявлению некоторых экспертов, ошибку можно использовать только для совершения DoS атаки;
"MFSA 2009-68" - проблема в реализации механизма NTLM аутентификации, мандат доступа одного приложения может быть распространен на другое. Т.е. если пользователь откроет сайт злоумышленника, то атакующий сможет сформировать обращение к защищенной области другого ресурса, к которому имеет доступ текущий пользователь;
"MFSA 2009-69" - две ошибки, приводящие к возможности спуфинга (подмены) содержимого строки ввода адреса, что может создать у пользователя иллюзию нахождения на другом сайте;
"MFSA 2009-70" - манипуляции с параметрами объекта window.opener могут привести к запуску JavaScript кода с привилегиями браузера (уровень chrome).

В связи с грядущим прекращением поддержки ветки Firefox 3.0.x пользователям рекомендуется как можно скорее осуществить переход на версию 3.5.6.

C аналогичными исправлениями вышло обновление SeaMonkey 2.0.1.

CTRL+Ced from: http://www.opennet.ru/opennews/art.shtml?num=24688