В Firefox, Thunderbird и Seamonkey закрыты уязвимости01.06.2007 10:33

Mozilla выпустила обновления безопасности сразу к трём флагманским продуктам — браузеру Firefox, почтовому клиенту Thunderbird и календарю Seamonkey. Уязвимости, обнаруженные в них, позволяли встраивать в страницы произвольный код на JavaScript, проводить атаки межсетевых сценариев (XSS), накладывать на окна постороннюю графику и выполнять другие хакерские действия.

Как сообщает Heise-security.co.uk, в браузере была устранена ошибка работы функции JavaScript addEventListener(). В почтовом клиенте из-за нестрогого соблюдения требований протокола шифрованной связи APOP имелась возможность взлома пароля. Ошибки в языке описания внешнего вида программ Mozilla, XUL, позволяли накладывать постороннюю графику, например, обманный URL поверх адресной строки.

Отсутствие проверки длины имени сайта в сookies могло привести к перерасходу оперативной памяти и подвесить браузер. Не было в системе работы с сookies и проверки на наличие символов внутренних разделителей. Используя внутренние символы разделения в специально сконструированном файле сookies, фишеры могли подставлять пользователю фальшивые сайты.

Уязвимостям подвержены Firefox 2 вплоть до последней версии, 2.0.0.4, Firefox 1, до 1.5.0.12, Thunderbird до 2.0.0.4 и 1.5.0.12, а также Seamonkey до 1.1.2 и 1.0.9. Для всех программ, кроме Seamonkey, доступно автоматическое обновление.

Обновление к Firefox 1.5.0.12 станет последним для браузеров первого поколения. Через несколько недель начнётся автоматическое обновление Firefox 1.x до последней версии 2.